Revision und Kontrolle

Wie beweist man, dass das Risikomanagement den Anforderungen der §§ 91 und 93 AktG nicht genügt (obwohl bestätigende Prüfberichte der Wirtschaftsprüfer existieren)?

Prof. Dr. Werner Gleißner

Es wird erläutert, wie eine auf die gesetzlichen Anforderungen fokussierte fachlich-wissenschaftliche Begutachtung des Risikomanagements durchgeführt wird, deren Ziel es ist, zu beweisen, dass gesetzliche Anforderungen nicht erfüllt werden. Diese Anforderungen lassen sich in nur zwei zentralen Punkten zusammenfassen: 1. Das Risikofrüherkennungssystem muss gem § 91 deutsches AktG sicherstellen, dass mögliche "bestandsgefährdende Entwicklungen"1 früh erkannt werden, und zwar solche aus (1) Einzelrisiken wie auch solche aus (2) Kombinationseffekten von Einzelrisiken. 2. Ein Vorstand muss gem § 93 AktG beweisen2 können, dass bei einer "unternehmerischen Entscheidung" die für diese erforderlichen "angemessenen Informationen" vorgelegen haben, also insb festgehalten wurde, welche Veränderungen des Umfangs an Chancen und Gefahren (Risiken) sich durch diese Entscheidung ergeben.

Bei einer Prüfung des Risikofrüherkennungssystems basierend auf IDW Prüfungsstandard 340 sollte, ähnlich wie auch schon beim DIIR RS Nr 2 (von 2018), gewährleistet sein, dass diese gesetzlichen Kernanforderungen im Mittelpunkt stehen. Prüfungen nach IDW Prüfungsstandard 340 haben oft Defizite, die bisher dazu führen, dass auch gravierende Mängel von Risikofrüherkennungssystemen nicht aufgedeckt werden.

1.Problemstellung

Viele empirische Studien belegen, dass die Risikomanagementsysteme, speziell auch Risikofrüherkennungssysteme, deutscher Unternehmen gravierende Mängel aufweisen (zB in den Bereichen Risikoquantifizierung und Risikoaggregation).3 Oft sind die Schwächen so gravierend, dass auch die gesetzlichen (Mindest-)Anforderungen, die sich insb aus den §§ 91 und 93 AktG ergeben, nicht erfüllt werden. Solche Lücken zeigen sich auch dann, wenn ein Unternehmen eine Prüfung des Risikofrüherkennungssystems oder des Risikomanagementsystems durch den Wirtschaftsprüfer, orientiert an IDW Prüfungsstandard 340 bzw IDW Prüfungsstandard 981, "bestanden" hat (also kein schwerwiegender Mangel festgestellt wurde). So hat Ende 2019 die euromicron AG Insolvenz angemeldet, ohne dass das Risikofrüherkennungssystem eine "bestandsgefährdende Entwicklung" aufgezeigt hatte.

Dieser Beitrag beschäftigt sich mit der Frage, wie eine auf die gesetzlichen Anforderungen fokussierte fachlich-wissenschaftliche Begutachtung des Risikomanagements vonstattengeht, deren Ziel es ist, zu beweisen, dass gesetzliche Anforderungen nicht erfüllt werden können. Sie ist implizit auch eine "Prüfung der Prüfung" des Risikofrüherkennungssystems, die seitens eines Wirtschaftsprüfers erstellt wurde (nach § 317 HGB).4

Anlass einer solchen fachlich-wissenschaftlichen Begutachtung sind insb die folgenden Konstellationen:

1)Situationen, bei denen das Risikofrüherkennungssystem durch einen Wirtschaftsprüfer A bei einer Prüfung im Grundsatz akzeptiert wurde, aber bei einer (etwas späteren) Prüfung durch eine andere Wirtschaftsprüfungsgesellschaft B eklatante Schwächen aufgezeigt werden (also Prüfberichte sich widersprechen).
2)Um Vorwürfe gegen einen Vorstand, die gesetzlichen Anforderungen aus den §§ 91 und 93 AktG nicht erfüllt zu haben, (a) zu untermauern oder (b) zu widerlegen (zB bei einer gerichtlichen oder vorgerichtlichen Auseinandersetzung).
3)Wenn Vorstand und/oder Aufsichtsrat selbst belegen möchten, dass die Prüfung des Risikomanagements durch einen Wirtschaftsprüfer - basierend auf IDW Prüfungsstandard 340 oder IDW Prüfungsstandard 981 - gravierende Schwächen aufweist, die sich zum Nachteil des Unternehmens auswirken können.
4)Bei sog "simulierten Stresstests des Risikomanagements" in denen untersucht wird, ob ein Vorstand oder Aufsichtsrat in einem Streitfall - zB ausgelöst durch "aktivistische Aktionäre" - dadurch angreifbar wäre, dass sich grundlegende Schwächen des Risikofrüherkennungssystems beweisen ließen.

In all den hier genannten (und einigen anderen) Fällen geht es im Kern also darum, ob sich durch ein fachlich-wissenschaftliches Gutachten beweisen ließe, dass das Risikomanagement eines Unternehmens den gesetzlichen Anforderungen eindeutig nicht genügt. Die Methoden für eine derartige Beurteilung von Risikomanagementsystemen werden in diesem Beitrag skizziert. Dies geschieht va auch vor dem Hintergrund des seit September 2019 vorliegenden Entwurfs für die Überarbeitung des IDW Prüfungsstandards 340 "Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs 4 HGB" (IDW EPS 340). Der neue Prüfungsstandard, der im Juli veröffentlicht werden soll, sollte nämlich sicherstellen, dass nach einer Prüfung auf dieser Grundlage nicht leicht beweisbar übersehene Schwächen im Risikomanagementsystem bestehen.

2.Was sind die gesetzlichen Mindestanforderungen an das Risikomanagement?

Alle Risikomanagementsysteme weisen Verbesserungspotenziale auf. Allein aus dem Sachverhalt, dass irgendetwas noch etwas besser gemacht werden könnte, ergeben sich im Allgemeinen keine gravierenden Probleme - und speziell keine Sorgfaltspflichtverletzung - für den Vorstand.

Von einem schwerwiegenden Problem - und einer Sorgfaltspflichtverletzung des Vorstands - ist dagegen immer dann auszugehen, wenn beweisbar das implementierte Risikomanagementsystem methodisch und strukturell nicht in der Lage ist, den gesetzlichen Anforderungen speziell aus den §§ 91 und § 93 AktG5 zu genügen (COSO Enterprise Risk Management stellt ähnliche Anforderungen, vgl Hunziker, Enterprise Risk Management - Modern Approaches to Balancing Risk and Reward [2019]). Die Analyse hat damit einen anderen Fokus als übliche Angemessenheits- und Wirksamkeitsprüfungen.6 Es geht hoch fokussiert um die gesetzlichen Kernanforderungen. Diese lassen sich ganz knapp in nur zwei zentralen Punkten zusammenfassen:7

1) § 91 AktG (Kontroll- und Transparenzgesetz): Das Risikofrüherkennungssystem muss gem § 91 AktG sicherstellen, dass mögliche "bestandsgefährdende Entwicklungen"8 früh erkannt werden, und zwar solche aus (1) Einzelrisiken wie auch solche aus (2) Kombinationseffekten von Einzelrisiken (was eine Risikoaggregation erfordert).
2) § 93 AktG (Business Judgement Rule): 9 Ein Vorstand muss gem § 93 AktG beweisen können, dass bei einer "unternehmerischen Entscheidung" die für diese erforderlichen "angemessenen Informationen" vorgelegen haben, also insb festgehalten wurde, welche Veränderungen des Umfangs an Chancen und Gefahren (Risiken) sich durch diese Entscheidung ergeben.10

3.Typische Beweise für die Nichterfüllung der gesetzlichen Anforderungen an das Risikomanagement (und Defizite in Prüfberichten)

3.1.Beweisführung zu § 91 AktG (KonTraG)

Für die Beweisführung muss man zeigen, dass es an sich leicht erkennbare "bestandsgefährdende Entwicklungen" geben kann, die durch ein strukturelles oder methodisches Defizit im Risikofrüherkennungssystem übersehen werden. Die wissenschaftlichen Gutachten zu einem derartigen Sachverhalt könnten im Streitfall unterschiedliche Aspekte beleuchten. Die Praxis zeigt aber, dass ein Versagen des Risikofrüherkennungssystems im Hinblick auf die Erfüllung der gesetzlichen Anforderungen meist sehr "leicht" und eindeutig durch folgende Defizite bewiesen werden kann:

3.1.1.Es gibt keine Risikoaggregation mit einer adäquaten Methode (Monte-Carlo-Simulation11)

Es ist klar, dass auch Kombinationseffekte von Einzelrisiken "bestandsgefährdende Entwicklungen" auslösen können. Werden solche Kombinationseffekte von Einzelrisiken nicht (oder nicht adäquat) betrachtet, "übersieht" das Risikofrüherkennungssystem an sich leicht erkennbare "bestandsgefährdende Entwicklungen". Dabei sind prinzipiell Kombinationseffekte zwischen allen relevanten Risiken zu betrachten (und nicht etwa nur zwei oder drei Szenarien). Geschieht dies nicht, erfüllt das Risikofrüherkennungssystem die gesetzlichen Anforderungen nicht.12

3.1.2.Das Risikomanagementsystem betrachtet seltene, aber relevante "Extremrisiken" mit potenziell bestandsgefährdenden Auswirkungen nicht

Wenn ein Unternehmen zB ein Investmentgrade anstrebt und damit eine Insolvenzwahrscheinlichkeit von unter 0,5 % pa erreichen möchte, müssen auch Einzelrisiken mit bestandsgefährdenden Auswirkungen betrachtet werden, wenn sie eine Insolvenzwahrscheinlichkeit von zB 0,5 %, 1 % oder 2 % aufweisen.13 Wenn in einem solchen Fall bspw im Risikomanagementsystem geregelt wird, dass zB nur Risiken mit einer Eintrittswahrscheinlichkeit von 5 % oder mehr pro Jahr zu analysieren und zu überwachen sind, werden potenziell bestandsgefährdende Einzelrisiken ignoriert und damit die gesetzlichen Anforderungen nicht erfüllt.

3.1.3.Fehlende Betrachtung der Liquiditätswirkung von Risiken

Die "bestandsgefährdenden Entwicklungen" und Insolvenzen werden heute verursacht durch (drohende) Illiquidität und nicht durch Überschuldung.14 Um daher bestandsgefährdende Entwicklungen erkennen zu können, ist es erforderlich, die Liquiditätswirkung von Risiken zu erfassen und auch Risiken zu berücksichtigen, die primär Liquiditätswirkung haben (zB der mögliche Anstieg der Kapitalbindung im Working Capital durch eine Verlängerung der Debitorenfrist). Wenn Risikofrüherkennungssysteme die Liquiditätsauswirkungen von Risiken nicht adäquat erfassen, sind "bestandsgefährdende Entwicklungen" möglich, die als solche durch den entsprechenden Mangel nicht erkannt wurden (aber bei adäquaten Methoden leicht erkennbar wären).

3.1.4.Fehlende Präzisierung und Analyse des Gesamtfeldes möglicher "bestandsgefährdender Entwicklungen"

Bestandsgefährdende Entwicklungen infolge (drohender) Illiquidität (vgl 3.1.3.)15 können sich insb ergeben durch

-Verletzung der Mindestanforderungen an ein Rating (und damit oft verbundenem fehlenden Zugang zu Kapitalmarkt und Finanzmitteln durch Kreditinstitute), zB bei einer anstehenden Refinanzierung, und/oder
-Verletzung von Kreditvereinbarungen (Covenants), die zu Kreditkündigungen führen.16

Wenn das Risikofrüherkennungssystem eines Unternehmens die Auswirkungen von Einzelrisiken oder deren Kombinationseffekte (im Rahmen der Risikoaggregation, vgl 3.1.1.) auf solche Covenants oder das zukünftige Rating nicht untersucht, ist es auch nicht in der Lage, mögliche "bestandsgefährdende Entwicklungen" aus der Verletzung von Covenants oder Ratinganforderungen zu erkennen.

3.1.5.Die Risikoquantifizierung basiert nur auf Eintrittswahrscheinlichkeit und erwarteter Schadenshöhe

Häufig werden ereignisorientierte Risiken17 beschrieben durch erwartete Schadenshöhe und Eintrittswahrscheinlichkeit. Diese quantitative Beschreibung ist fast immer nicht sachgerecht, da praktisch bei jedem Risiko die Schadenshöhe selbst auch unsicher ist. Die gesetzlichen Mindestanforderungen aus dem KonTraG werden nicht erfüllt, wenn insb neben der Schadenshöhe ein erwarteter Schaden angegeben wird.18 Dadurch, dass die Schadenshöhe auf eine sichere Zahl, einen Erwartungswert, verdichtet wird, werden höhere potenziell bestandsgefährdende Extremszenarien der Schadensausprägung eines Risikos ignoriert. Mögliche Schäden müssen durch eine sachgerechte Wahrscheinlichkeitsverteilung beschrieben werden (zB Angabe von Mindestwert, wahrscheinlichstem Wert und Maximalwert).

3.1.6.Fehlende Quantifizierung von wesentlichen Risiken mit quantitativer Wirkung auf Gewinn oder Liquidität

Entgegen den klar formulierten Anforderungen des (alten) IDW Prüfungsstandards 340, Risiken zu quantifizieren, werden oft auch wesentliche Risiken nicht quantifiziert.19 Haben nicht quantifizierte Risiken aber monetäre Auswirkungen, speziell auf die Liquidität, die einzeln oder in Kombination mit anderen Risiken zu einer "bestandsgefährdenden Entwicklung" führen können, führt diese (scheinbare)20 Nichtquantifizierung der Risiken dazu, dass an sich erkennbare "bestandsgefährdende Entwicklungen" übersehen werden.

Die hier knapp skizzierten Ansatzpunkte einer wissenschaftlichen Beweisführung zeigen, wie einfach es im Allgemeinen ist, zweifelsfrei zu beweisen, dass aufgrund methodischer Defizite ein Risikofrüherkennungssystem gar nicht in der Lage war, an sich bei adäquater Methodik durchaus erkennbare "bestandsgefährdende Entwicklungen" früh zu erkennen. Sollte tatsächlich eine Krise bzw bestandsgefährdende Entwicklung eintreten, die bei Beachtung aller oben skizzierten Sachverhalte erkennbar gewesen wäre, hat der Vorstand ein Problem. Die gesetzliche Anforderung nach § 91 AktG wurde nämlich nicht erfüllt.

Es ist zu erwähnen, dass diese Überlegungen auch der Prüfung von Risikomanagementsystemen durch interne Revisoren basierend auf dem neuen DIIR Revisionsstandard Nr 2 (November 2018) zugrunde liegen. In diesem Standard wird erstmalig klar gefordert, dass die Prüfung des Risikomanagementsystems sich auch auf die Methoden (zB für Risikoquantifizierung und Risikoaggregation) beziehen muss. Nur so kann man gewährleisten, dass die in einem Unternehmen implementierten Methoden tatsächlich geeignet sind, mögliche "bestandsgefährdende Entwicklungen" früh zu erkennen.

3.2.Beweisführung zu § 93 AktG (Business Judgement Rule)

Knapp eingegangen werden soll noch auf die zentrale Anforderung aus § 93 AktG, die allerdings der IDW Prüfungsstandard 340 durch den Fokus auf § 91 AktG bisher gar nicht beachtet (anders als der DIIR RS Nr 2, der infolge § 93 AktG fordert, zu prüfen, ob das Risikomanagement bei der Vorbereitung "unternehmerischer Entscheidungen" einbezogen war).21

Die Business Judgement Rule - aus § 93 Abs 1 Satz 2 AktG abgeleitet - regelt schadensersatzträchtige Pflichtverletzungen des Vorstands (siehe auch § 116 AktG).22 Grundsätzlich liegt eine Pflichtverletzung dann nicht vor, wenn ein Vorstandsmitglied "bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln". Damit die Business Judgement Rule greift, muss im Rahmen einer unternehmerischen Entscheidung zwischen alternativen Handlungsmöglichkeiten gewählt werden und die Entscheidung bestimmte Eigenschaften aufweisen. Graumann erläutert: "Dazu gehören nach Auffassung des BGH geeignete Ziele sowie das Abwägen der Vor- und Nachteile der in Betracht kommenden Handlungsmöglichkeiten. Letzteres erfordert Prognosen, wie sich die Handlungsmöglichkeiten auswirken, und dass die damit verbundenen Risiken gemessen und beurteilt werden [...]."23

Bei einer Entscheidung unter Unsicherheit sind es insb die Risikoinformationen, die bei der Entscheidungsvorbereitung wesentlich sind und dem Vorstand zur Verfügung gestellt werden müssen, damit dieser über "angemessene Informationen" iSv § 93 Abs 1 Satz 2 AktG verfügt.

Eine Implikation der Business Judgement Rule ist eine Ausweitung des Aufgabenfelds des Risikomanagements.24 Schien es mit dem KonTraG nach 1998 noch akzeptabel, sich nur mit den wesentlichen Risiken zu befassen, die allein oder in Kombination mit anderen zu "bestandsgefährdenden Entwicklungen" führen, ist dies inzwischen nicht mehr ausreichend.25 Entscheidungsvorbereitende Risikoanalysen sind damit nun notwendig bei allen unternehmerischen Entscheidungen, die vom Vorstand bzw der Geschäftsführung getroffen werden ("entscheidungsorientiertes Risikomanagement).26 Risiken sind damit auch dann zu betrachten, wenn sie keine "bestandsgefährdenden Entwicklungen" auslösen können. Natürlich ist insb zu prüfen, ob es durch eine "unternehmerische Entscheidung" zu einer bestandsgefährdenden Entwicklung kommen kann.

Um zu beweisen, dass die Anforderungen aus § 93 AktG nicht erfüllt sind, nutzt man insb die folgenden Ansatzpunkte:

1.Man zeigt, dass kein Prozess im Unternehmen vorgesehen27 und implementiert ist, der gewährleistet, dass bei der Vorbereitung "unternehmerischer Entscheidungen" dokumentiert wird, welche Veränderung von Chancen und Gefahren (Risiken) sich durch diese Entscheidung ergeben würde.28
2.Man zeigt, dass in Entscheidungsvorlagen idR keine neutralen und quantitativen Risikoinformationen enthalten sind und damit unklar bleibt, welche Veränderung des Risikoumfangs sich durch die Entscheidung ergeben würde.
3.Man zeigt, dass nach einer Entscheidung an sich leicht erkennbare Risiken Planabweichungen ausgelöst haben, die in der Entscheidungsvorlage nicht genannt wurden, aber leicht erkennbar waren (zB weil unsichere Planannahmen immer auf hier bestehende Chancen und Gefahren, also Risiken, hinweisen).

3.3.Beweisbare Defizite bei Prüfungen und Prüfberichten

Natürlich hat auch ein Wirtschaftsprüfer potenziell ein Problem, wenn er bei einer Prüfung des Risikofrüherkennungssystems dieses nicht wegen schwerwiegender Mängel29 beanstandet hat, obwohl es beweisbar viele mögliche "bestandsgefährdende Entwicklungen" gar nicht früh erkennen kann. Dies wird man als schwerwiegenden Mangel der Prüfung und des Prüfberichts auffassen müssen. Auftraggeber und Gesetzgeber erwarten naheliegenderweise, dass gerade das Risikofrüherkennungssystem unter besonderer Beachtung der gesetzlichen Anforderungen geprüft wird. Es ist nicht akzeptabel, wenn hier wesentliche Mängel nicht erkannt oder adäquat dokumentiert werden. Dies muss man als wesentliche Anforderung für Prüfungen nach dem neuen IDW Prüfungsstandard 340 des Jahres 2020 ansehen. Die gesetzlichen Kernanforderungen müssen grundsätzlich im Fokus der Prüfung stehen. Es sollte sichergestellt werden, dass Mängel im Risikofrüherkennungssystem, die dazu führen, dass an sich leicht erkennbare "bestandsgefährdende Entwicklungen" nicht erkannt werden, konsequent aufgedeckt werden. Die in 3.1. und 3.2. genannten Punkte zeigen die hier zentralen Prüfungsinhalte. So ist es bspw ohne eine adäquate Quantifizierung und Aggregation von Risiken nicht möglich, dass bestandsgefährdende Entwicklungen aus Kombinationseffekten von Einzelrisiken früh erkannt werden. Ohne eine Beachtung der Wirkung von Einzelrisiken oder ihren Kombinationseffekten auf das zukünftige Rating oder Financial Covenants werden ebenfalls denkbare bestandsgefährdende Entwicklungen übersehen. Eine solche Analyse erfordert eine Risikoaggregation mittels Monte-Carlo-Simulation (vgl 4.1.).

4.Der IDW Prüfungsstandard 340 und die Ursachen für eine unzureichende Prüfung

4.1.Der IDW PS 340

Wie im Beitrag bisher erläutert, ist es vergleichsweise einfach und strukturiert möglich, Defizite in den Risikofrüherkennungssystemen, die zur Verfehlung der gesetzlichen Anforderungen aus den §§ 91 und 93 AktG führen, klar zu erkennen und zu belegen. Es erscheint daher naheliegend, genau die in Abschnitt 3. erläuterten Sachverhalte auch zu Kernelementen der Prüfung der Risikofrüherkennungssysteme gem § 317 AktG durch den Wirtschaftsprüfer zu machen. Tatsächlich zeigt aber der seit September 2019 vorliegende Entwurf für den IDW PS 340 "Die Prüfung der Maßnahmen nach § 91 Abs 2 AktG im Rahmen der Jahresabschlussprüfung gemäß § 317 Abs 4 HGB", dass dies nur eingeschränkt der Fall ist. Insb entstand der Eindruck, dass das schon im "alten" IDW PS 340 von 1998 formulierte Gebot für die Quantifizierung der finanziellen Auswirkungen von Risiken "relativiert" wird, die bedeutende Verbindung zu Covenants und Rating ignoriert und die zentrale Bedeutung der Monte-Carlo-Simulation für die Risikoaggregation nicht betont werden soll. Die zentrale Bedeutung der Risikoaggregation an sich ist damit in der Zwischenzeit allerdings klar formuliert.

Die genannten Defizite des IDW EPS 340 werden an einigen nachfolgend beispielhaft gezeigten Stellen deutlich:

Der "alte" IDW PS 340 Tz 10 führt zur Risikoanalyse und Risikoaggregation aus:

"Die Risikoanalyse beinhaltet eine Beurteilung der Tragweite der erkannten Risiken in Bezug auf Eintrittswahrscheinlichkeit und quantitative Auswirkungen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet von nachrangiger Bedeutung sind, in ihrem Zusammenwirken oder durch Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko führen können."30

Gefordert wird also auch schon bisher eine Aggregation über alle (wesentlichen) quantifizierten Risiken und auch über die Zeit.31 Da nur quantifizierte Risiken aggregiert werden können, ist das Gebot der Quantifizierung sämtlicher Risiken nur konsequent. Wohlgemerkt: Diese klare Forderung steht im "alten" IDW PS 340. Im IDW EPS 340 (Tz 10) wurde dagegen die Möglichkeit einer "qualitativen" Aggregation angesprochen. Es gibt allerdings keine "qualitativen Risikoaggregationsverfahren", die in der Lage wären, die möglichen "bestandsgefährdenden Entwicklungen" aus einer prinzipiell beliebigen Kombination von Einzelrisiken zu erkennen. Damit stellt der IDW EPS 340 hier sogar einen "Rückschritt" gegenüber dem schon erreichten Stand dar und formuliert aus wissenschaftlicher Sicht zu niedrige Anforderungen. Die Aggregation von Risiken im Kontext der Unternehmensplanung erfordert den Einsatz von Simulationsverfahren (Monte-Carlo-Simulation),32 weil Risiken - anders als Kosten oder Umsätze - nicht addierbar sind und im Allgemeinen analytische Lösungen nicht existieren.33 Dies kann man leicht zeigen.34

1.Es ist unstrittig, dass die Erkennung möglicher "bestandsgefährdender Entwicklungen" die zentrale Anforderung an das Unternehmen darstellt, die in § 91 Abs 2 AktG formuliert ist.
2.Es ist unstrittig, dass solche "bestandsgefährdenden Entwicklungen" nicht nur aus Einzelrisiken, sondern auch aus Kombinationseffekten von Risiken entstehen können (und zwar meist durch deren Wirkung auf Liquidität, Rating und Covenants). Dies stellt der IDW EPS 340 auch klar: "Bestandsgefährdende Entwicklungen können auch aus dem Zusammenwirken mehrerer Risiken resultieren, die bei isolierter Betrachtung an sich nicht bestandsgefährdend sind. Bei der Beurteilung, ob eine bestandsgefährdende Entwicklung vorliegt, ist daher eine Aggregation der Risiken vorzunehmen" (vgl Tz 18).
3.Aus 1. und 2. ergibt sich zwingend, dass damit solche Kombinationseffekte von Einzelrisiken auszuwerten sind, und genau dies ist Aufgabe der Risikoaggregation (die entsprechend auch im IDW PS 340 genannt wird).
4.Um die Auswirkungen von Kombinationseffekten der Einzelrisiken auf Rating und Covenants, die zu Kreditkündigungen führen können, auszuwerten, müssen diese mit Bezug auf die Unternehmensplanung (und Finanzkennzahlen) aggregiert werden.35 Es gibt nun kein anderes Verfahren als die Monte-Carlo-Simulation, um verschiedene Risiken mit Bezug auf die Unternehmensplanung zu aggregieren.

Sehr problematisch ist dabei die im IDW ESP 340 formulierte "Öffnungsklausel" in Tz 10:

"Die Methoden zur Bestimmung der Risikotragfähigkeit liegen im Ermessen des Unternehmens und können sowohl quantitativ als auch qualitativ ausgestaltet sein (vgl. TZ. 15, TZ. A4f.)."

Dieser Aussage ist klar zu widersprechen.36 Es liegt nicht im Ermessen des Vorstands, zu entscheiden, was er als "bestandsgefährdende Entwicklung" ansieht (und welches Risikotragfähigkeitskonzept er wünscht). Eine bestandsgefährdende Entwicklung ist im Allgemeinen als eine Konstellation zu sehen, in der es die Unternehmensführung nicht mehr selbst in der Hand hat, eine Insolvenz abzuwenden (und entsprechend zB angewiesen ist auf die Zustimmung von Kreditgebern zu einer Kreditverlängerung oder auf die Bereitschaft der Eigenkapitalgeber, Eigenkapital zuzuführen).37 Unstrittig ist, dass zumindest eine in der Insolvenzordnung38 klar erläuterte Insolvenz als eine bestandsgefährdende Entwicklung anzusehen ist. Das Risikofrüherkennungssystem muss damit mindestens in der Lage sein, drohende Insolvenzszenarien früh zu erkennen, also insb zu zeigen, wann es durch Kombinationseffekte von Einzelrisiken zur Insolvenz kommen kann, insb also Szenarien einer (drohenden) Liquidität zu erkennen.

Folglich sollte der neue IDW PS 340 eine Klarstellung zu Risikoquantifizierung und Risikoaggregation enthalten, wie die folgende (in Anlehnung an Tz 10 des "alten" IDW PS 340):39

"Die Risikoanalyse beinhaltet eine Quantifizierung der erkannten Risiken in Bezug auf Eintrittswahrscheinlichkeit und die meist unsicheren quantitativen finanziellen Auswirkungen (Gewinn und Liquidität). Die Unsicherheit der Auswirkungen ist durch eine geeignete Wahrscheinlichkeitsverteilung zu beschreiben (zB durch Angabe von Mindestwert, wahrscheinlichstem Wert und Maximalwert einer Dreiecksverteilung). Ergänzend ist durch eine Risikoaggregation zu untersuchen, ob Einzelrisiken, die isoliert betrachtet von nachrangiger Bedeutung sind, in ihrem Zusammenwirken durch Kombinationseffekte zu "bestandsgefährdenden Entwicklungen" führen können. Die Aggregation der Risiken muss Bezug nehmen auf die Unternehmensplanung, um eine Berücksichtigung des heutigen und zukünftig geplanten Risikodeckungspotenzials (und damit der Risikotragfähigkeit) zu gewährleisten. Durch die Aggregation der Risiken über die nächsten Geschäftsjahre sollen bestandsgefährdende Entwicklungen durch Überschuldung und eine (drohende) Illiquidität aufgedeckt werden. Eine solche Risikoaggregation mit Bezug auf die Unternehmensplanung erfordert eine Monte-Carlo-Simulation und die Betrachtung aller potenziellen Ursachen für bestandsgefährdende Entwicklungen (wie zB die Verletzung von Mindestanforderungen an die Bonität/Rating oder die Verletzung von Covenants, die zur Kreditkündigung führen können)."

4.2.Warum fehlen im IDW EPS 340 wichtige Klarstellungen?

Bei Betrachtung der Erläuterung in Kapitel 3. und der Ausführungen zum IDW EPS 340 in Abschnitt 4.1. ergibt sich die Frage, warum offenbar manche Abschlussprüfer die zentralen Anforderungen nicht deutlicher als zentralen Prüfungsgegenstand benennen wollen und zB selbst im Jahr 2019 noch die Notwendigkeit einer Monte-Carlo-Simulation für die Risikoaggregation nicht klar formuliert wird.

Die nachfolgenden Thesen sind als mögliche Erklärungsansätze zu verstehen, ohne dass damit eine Aussage über deren relative Bedeutung getroffen werden soll.

4.2.1.Fehlende Kompetenz bei der Prüfung der Methoden der Risikoaggregation

Die Prüfung von Methoden und Modellen für die Risikoaggregation erfordert spezifische Spezialkenntnisse. Ein Prüfer muss zunächst beurteilen, ob die gewählten Wahrscheinlichkeitsverteilungen und stochastischen Prozesse für die Beschreibung von Risiken sachgerecht sind und adäquate Herangehensweisen gewählt wurden, um in der Praxis typische Herausforderungen - Probleme zB bei der Datenqualität oder die Notwendigkeit der Verwendung subjektiver Expertenschätzungen - adäquat zu behandeln. Dazu ist es erforderlich, das für die Risikoaggregation zugrunde gelegte integrierte Unternehmensplanungsmodell, inklusive der zugrunde liegenden Planungslogik, die Verknüpfung der Risiken mit dem Planungsmodell sowie die Interpretation der Simulationsergebnisse zu prüfen (zB, ob die Auswirkungen von risikobedingt möglichen Zukunftsszenarien auf Covenants des Unternehmens, die zu einer Kreditkündigung führen können, adäquat erfasst worden sind). Da eine solche Prüfung eben spezifische fachliche Qualifikationen im Bereich Risikoaggregation erfordert, ist ein entsprechendes Spezial-Know-how nicht bei jedem Wirtschaftsprüfer verfügbar. Ein Mangel an Prüfern, die die spezifische Qualifikation bei der Prüfung von Risikoaggregationsverfahren haben, könnte daher erklären, warum die in den Unternehmen etablierten Verfahren bisher nicht konsequent geprüft werden.

4.2.2.Mangel an Budget

Die Prüfung von Risikoaggregationsmodellen erfordert zudem Zeit und damit Budget. Wenn eine Wirtschaftsprüfungsgesellschaft sich nicht in der Position sieht, die für die Prüfung der Risikoaggregation erforderlichen Budgets zu erhalten, kann dies ein Grund sein, dass eine solche Prüfung eben nicht stattfindet.

4.2.3.Vermeidung von Konflikten mit Mandanten

Wie oben bereits erwähnt, zeigen Studien, dass eine Risikoaggregation von vielen Unternehmen nicht mit adäquaten Methoden durchgeführt wird, sodass ein Wirtschaftsprüfer bei einer konsequenten Prüfung der Risikoaggregation relativ häufig "schwerwiegende Mängel" des Risikofrüherkennungssystems bei seiner Prüfung feststellen und kommunizieren müsste. Dies führt natürlich potenziell zu einem Konflikt mit dem beauftragenden Unternehmen, sofern dieses kein eigenes Interesse an einer adäquaten Risikoaggregation hat (sei es aus Unwissen, Mangel an eigenen Fachkräften für die Risikoaggregation oder schlicht aus Sorge, dass bei einer Risikoaggregation eben "bestandsgefährdende Entwicklungen" erkennbar würden, die man gar nicht zur Kenntnis nehmen möchte). Solche Konflikte mögen Wirtschaftsprüfungsgesellschaften als für die Mandantenbeziehung problematisch ansehen; insb in einer Situation, in der jeder Mandant relativ einfach einen Wirtschaftsprüfer finden kann, der die Methoden der Risikoaggregation nicht konsequent prüft.

4.2.4.Fehlende Sanktionierung der Wirtschaftsprüfer

Eine Wirtschaftsprüfungsgesellschaft mag zu der Schlussfolgerung kommen, dass sich der Zeiteinsatz (und mögliche Konflikte, siehe 4.2.3.) für die Prüfung der Risikoaggregation meist gar nicht lohnen würde. Prüft eine Wirtschaftsprüfungsgesellschaft einen Konzern mit einem Investmentgrade-Rating, wird man die Wahrscheinlichkeit für eine "bestandsgefährdende Entwicklung", die öffentlich bekannt wird, als gering ansehen. Wenn ein Unternehmen also zB ein Investmentgrade-Rating von Standard & Poor’s oder Moodys aufweist, das eine Insolvenzwahrscheinlichkeit pro Jahr < 0,5 % anzeigt, könnte man dies quasi als "Ersatz" für das Risikofrüherkennungssystem des Unternehmens selbst interpretieren. Wenn es nicht zu einer Insolvenz - als öffentlich erkennbare Bestandsgefährdung - kommt, wird sich vielleicht niemand die Frage stellen, warum nie eine Risikoaggregation zur Identifikation möglicher "bestandsgefährdender Entwicklungen" vorgenommen wurde (und die Aggregationsmodelle auch nicht geprüft wurden).40 , 41 Und sollte es in einer schweren Wirtschaftskrise durch die Verbindung exogener Risiken (Nachfrage-Einbruch) mit negativen Auswirkungen interner Risiken (zB gescheiterte Großprojekte) doch zu bestandsgefährdenden Entwicklungen kommen, haben vermutlich so viele Unternehmen gravierende wirtschaftliche Schwierigkeiten, dass der "Einzelfall" als entschuldbar erscheinen könnte (zumal eine Wirtschaftsprüfungsgesellschaft sicherlich in einem derartigen Fall auf Referenzfälle anderer Wirtschaftsprüfungsgesellschaften verweisen kann, bei denen eine sachgerechte Prüfung der Risikoaggregationsmethoden auch nicht vorgenommen wurde).

Fehlende fachliche Kompetenzen, fehlende Budgets, Angst vor Konflikten mit dem Mandanten und die möglicherweise fehlende Sorge, dass Defizite bei der Prüfung der Risikoaggregationsverfahren für den Wirtschaftsprüfer selbst zu einem Problem werden können, mögen - in irgendeiner Kombination - erklären, warum die zur Erfüllung der gesetzlichen Anforderungen aus den §§ 91 und 93 AktG so zentralen Verfahren der Risikoaggregation noch immer keinen Prüfungsschwerpunkt darstellen.

5.Fazit und Empfehlungen

Meist kann man durch fachlich-wissenschaftliche Gutachten leicht beweisen, dass das Risikofrüherkennungssystem eines Unternehmens den zentralen gesetzlichen Anforderungen aus den §§ 91 und 93 nicht gerecht wird. Wenn zB keine adäquate Risikoaggregation durchgeführt wird, werden mögliche bestandsgefährdende Entwicklungen aus Kombinationseffekten von Risiken nicht erkannt. Werden die Auswirkungen von Risiken auf die Unternehmensliquidität, Covenants oder das zukünftige Rating ignoriert, werden ebenfalls mögliche "bestandsgefährdende Entwicklungen" übersehen. Die gesetzlichen Anforderungen werden so nicht erfüllt. Es ist wesentlich, zu beachten, dass im Allgemeinen nicht etwa Einzelrisiken - und schon gar nicht deren Auswirkungen auf Jahresüberschuss und Eigenkapital - zu einer bestandsgefährdenden Entwicklung führen. Bestandsgefährdende Entwicklungen ergeben sich fast immer aus Kombinationseffekten von Risiken und deren Auswirkung auf die Liquidität (zB über die Verletzung von Covenants).

Bei einer Prüfung des Risikofrüherkennungssystems basierend auf IDW Prüfungsstandard 340 sollte, ähnlich wie auch schon beim DIIR RS Nr 2 (von 2018), gewährleistet sein, dass diese gesetzlichen Kernanforderungen im Mittelpunkt stehen. Wenn bei einer solchen Prüfung keine wesentlichen Mängel festgestellt werden, sollte man später nicht einfach beweisen können, dass durch dieses ein Großteil aller denkbaren "bestandsgefährdenden Entwicklungen" übersehen wird. Da "bestandsgefährdende Entwicklungen" auch aus den zusätzlichen Risiken einer "unternehmerischen Entscheidung", zB Akquisition, resultieren können, sollten diese - und damit die Anforderungen aus § 93 AktG - bei einer Prüfung des Risikofrüherkennungssystems auch einbezogen werden. Diese Gedanken sollten bei der zukünftigen Weiterentwicklung des IDW Prüfungsstandards 340 in besonderer Weise beachtet werden.

1

Siehe zum Begriff Gleißner, DB 2017, 2749-2754.


2

Gem Art 93 Abs 3 liegt die Beweislast beim Vorstand. Es ist zu beachten, dass die Verantwortung für eine adäquate Fundierung der Entscheidungen auch dann beim Vorstand verbleibt, wenn der Aufsichtsrat die Entscheidung gebilligt hat (§ 93 Abs 4 AktG).


3

Vgl zB Ulrich/Scheuermann/Spitzenpfeil, CM 6/2018, 62-68; Link/Scheffler/Oehlmann, CM 1/2018, 72-78; Berger/Gleißner, ZCG 2/2007, 62-68; Köhlbrandt/Gleißner/Günther, Umsetzung gesetzlicher Anforderungen an das Risikomanagement in DAX- und MDAX-Unternehmen. Eine empirische Studie zur Erfüllung der gesetzlichen Anforderungen nach den §§ 91 und 93 AktG (erscheint in Kürze); Henschel/Busch, CM 1/2015, 66-73, und Angermüller/Berger, RM 24/2010, 16-24.


4

Vgl Gleißner/Sassen/Behrmann, Prüfung und Weiterentwicklung von Risikomanagementsystemen - Ökonomische und aktienrechtliche Anforderungen (2019).


5

Business Judgement Rule, vgl Graumann, WISU 2014, 317-320, und Graumann/Linderhaus/Grundei, BFuP 2009, 492-505.


6

Vgl § 317 HGB zur Prüfung der Anforderungen aus § 91 AktG.


7

Siehe dazu weiterführend Füser/Gleißner/Meier, DB 1999, 753-758; Romeike, Rechtliche Grundlagen des Risikomanagement - Haftungs- und Strafvermeidung für Corporate Compliance (2008), sowie Gleißner, WPg 2017, 158-164, und Gleißner, DB 2018, 2769-2774.


8

Siehe zum Begriff Gleißner, DB 2017, 2749-2754.


9

Siehe dazu Graumann/Linderhaus/Grundei, BFuP 2009, 492-505; Graumann, WISU 2014, 317-320; Gleißner, GRC aktuell 2019, 148-153, und Risk Management Association e. V. (RMA) (Hrsg), Managemententscheidungen unter Risiko, erarbeitet von Werner Gleißner, Ralf Kimpel, Matthias Kühne, Frank Lienhard, Anne-Gret Nickert und Cornelius Nickert (2019).


10

Der Sachverhalt, dass bei Managemententscheidungen unter Unsicherheit bzw Risiken die Risikoinformationen hier zentrale Bedeutung haben, betonen Rechtsprechung und Schrifttum einheitlich, siehe zB Graumann, WISU 2014, 317-320; Graumann/Linderhaus/Grundei, BFuP 2009, 492-505, und zusammenfassend zur Rechtslage und Rechtsprechung Risk Management Association e.V. (RMA) (Hrsg), Managemententscheidungen unter Risiko (2019).


11

Gleißner, Grundlagen des Risikomanagements3 (2017) 251-268.


12

Was schon der "alte" IDW Prüfungsstandard 340 klarstellt (vgl Gleißner, WPg 2017, 158-164).


13

Als durchaus sachgerecht kann man dagegen ansehen, wenn Risiken von vornherein ausgeschlossen werden, deren geschätzte Eintrittswahrscheinlichkeit unter 0,1 % liegt.


14

Vgl Basel II/III, die Insolvenzordnung (InSo); vgl Gleißner, DB 2017, 2749-2754.


15

Nickert/Nickert/Kühne, KTS 2019, 29-65.


16

Siehe weiterführend Gleißner, DB 2017, 2749-2754.


17

Zum Begriff Füser/Gleißner/Meier, DB 1999, 753-758.


18

Dies ist erforderlich, wenn die mittlere Belastung durch ein Risiko "erwartungstreu" geschätzt werden soll.


19

Im IDW Prüfungsstandard 340 Tz 10, steht: "Die Risikoanalyse beinhaltet eine Beurteilung der Tragweite der erkannten Risiken in Bezug auf Eintrittswahrscheinlichkeit und quantitative Auswirkungen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet von nachrangiger Bedeutung sind, sich in ihrem Zusammenwirken oder durch Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko aggregieren können." Vgl dazu auch Gleißner, WPg 2017, 158-164, und DB 2018, 2769-2774.


20

Bekanntlich ist eine tatsächliche Nichtquantifizierung von Risiken gar nicht möglich. Korrekterweise müsste man sagen, dass die (monetären) Auswirkungen eines sog "nicht quantifizierten" Risikos tatsächlich mit null Schadenshöhe oder null Eintrittswahrscheinlichkeit quantifiziert wurden. Risikoquantifizierung muss die besten verfügbaren Informationen nutzen, ggf auch subjektive Expertenschätzungen.


21

Vgl Gleißner/Kimpel, ZIR 4/2019, 148-159.


22

Vgl Risk Management Association e.V. (RMA) (Hrsg), Managemententscheidungen unter Risiko (2019) mit einer umfassenden Darstellung.


23

Graumann, WISU 2014, 319, und Graumann/Linderhaus/Grundei, BFuP 2009, 492-505.


24

Vgl Gleißner, DB 2018, 2769-2774; Gleißner/Hunziker, EXPERT FOCUS 2019, 745-749, und Wolfrum in Risk Management Association, Vernetzung von Risikomanagement und Controlling: Grundlagen - Praktische Aspekte - Synergiepotenziale (2018) 15-20, speziell mit Erläuterung der Beziehung von Risikomanagement und Controlling.


25

In § 91 AktG wird gefordert, dass mögliche bestandsgefährdende Entwicklungen "früh" erkannt werden sollen, was bedeutet: vor einer Entscheidung, die zu solchen Risiken führt (vgl Gleißner, WPg 2017, 158-164).


26

Gleißner, GRC aktuell 2019, 148-153.


27

Meist genügt hier eine Angemessenheitsprüfung (die Wirksamkeitsprüfung hat sekundäre Bedeutung).


28

Insb wird man hier betrachten, ob das Risikomanagement "entscheidungsorientiert" ausgerichtet ist (siehe Gleißner/Hunziker, EXPERT FOCUS 2019, 745-749, und Gleißner/Kimpel, ZIR 2019, 148-159), also in die Vorbereitung unternehmerischer Entscheidungen - also Entscheidungen unter Risiko - eingebunden wird.


29

Vgl Entwurf IDW Prüfungsstandard 340.


30

IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs 4: HGB (IDW PS 340, Stand: 11. 9. 2000).


31

Siehe dazu Füser/Gleißner/Meier, DB 1999, 753-758.


32

Siehe die wissenschaftliche gemeinsame Stellungnahme zum IDW EPS 340 von Prof. Niels Olaf Angermüller, Prof. Thomas B. Berger, Prof. Ulrich Blum, Prof. Roland Franz Erben, Prof. Dietmar Ernst, Prof. Werner Gleißner, Prof. Thilo Grundmann, Prof. Reinhard Heyd, Prof. Kay H. Hofmann, Prof. Christoph Mayer, Prof. Matthias Meyer, Prof. Robert Rieg, Prof. Ottmar Schneck, Prof. Patrick Ulrich, Prof. Ute Vanini, https://www.idw.de/blob/121892/bdef576a6a3bff52ee039511482c6057/down-idweps340nf-gem-stn-hochschullehrer-rm-data.pdf (abgerufen am 4. 2. 2020).


33

Bereits der Titel des Gesetzes nennt "Transparenz" als oberstes Prinzip; damit ist eine überschlägige Aggregation der Risiken nicht angemessen (und mit dem menschlichen Verstand ohnehin nicht zu leisten). Abgesehen von wenig realitätsnahen Spezialfällen (zB Normalverteilung aller Risiken) gibt es keine analytischen Formeln, um Risiken zu aggregieren. Damit wird im Schrifttum auch kein anderes Verfahren als die Monte-Carlo-Simulation vorgeschlagen, um künftige Risiken zu aggregieren und den Gesamtrisikoumfang zu bestimmen.


34

In Anlehnung an Gleißner/Wolfrum, Die Prüfung des Risikomanagementsystems durch den Wirtschaftsprüfer: trügerische Sicherheit, in Risk Management Association e.V. (Hrsg), Digitale Risiken und Werte auf dem Prüfstand (2019) 111-112.


35

Sonst kann man schlicht nicht feststellen, ob Mindestanforderungen an ein Rating bzw Covenants verletzt werden.


36

Vgl die wissenschaftliche gemeinsame Stellungnahme zum IDW EPS 340, https://www.idw.de/blob/121892/bdef576a6a3bff52ee039511482c6057/down-idweps340nf-gem-stn-hochschullehrer-rm-data.pdf (abgerufen am 4. 2. 2020).


37

Vgl Gleißner, DB 2017, 2749-2754.


38

Siehe auch Kommentierungen zur InsO.


39

Aus der wissenschaftlichen gemeinsamen Stellungnahme zum IDW EPS 340, https://www.idw.de/blob/121892/bdef576a6a3bff52ee039511482c6057/down-idweps340nf-gem-stn-hochschullehrer-rm-data.pdf (abgerufen am 4. 2.2020).


40

Tatsächlich ist bekannt, dass gerade die nicht adäquate Erfassung der in der Zukunft liegenden Risiken eines Unternehmens aber die größte Schwäche traditioneller Ratingverfahren darstellt, siehe dazu zB Bemmann, Entwicklung und Validierung eines stochastischen Simulationsmodells für die Prognose von Unternehmensinsolvenzen (Dissertation, Dresden 2007), und Blum/Gleißner/Leibbrand, Stochastische Unternehmensmodelle als Kern innovativer Ratingsysteme, IWH Discussion paper, https://www.researchgate.net/publication/5135055_Stochastische_Unternehmensmodelle_als_Kern_innovativer_Ratingsysteme (abgerufen am 30. 1. 2020).


41

Überraschende Insolvenzen selbst bei guten makroökonomischen Rahmenbedingungen - wie zB Ende 2019 bei der euromicron AG - zeigen aber sehr wohl, welche Bedeutung auch bei börsennotierten Gesellschaften Risikoaggregationsverfahren hätten.


Artikel-Nr.
RWZ digital exklusiv 2020/27

24.07.2020
Autor/in
Werner Gleißner

Prof. Dr. Werner Gleißner, Technische Universität Dresden (Betriebswirtschaft, insb. Risikomanagement) und Vorstand der FutureValue Group AG und der EACVA (European Association of Certified Valuators and Analysts).
Er vertritt einen Forschungsansatz zur Integration der Methoden aus Risikomanagement, Rating und Bewertungstheorie (speziell durch die Nutzung von Simulationsverfahren).