Markus Brinkmann - Tax Compliance

57

Basierend auf der Risikoanalyse wird im Rahmen der Risikobewertungfestgelegt, für welche Risiken Maßnahmen zu ergreifen und wie die Prioritäten der verschiedenen Risikomaßnahmen sind. Für die Bestimmung der Priorität und der Art der Maßnahmen ist im Rahmen der Risikobewertung ein Vergleich zwischen den aus der Risikoanalyse resultierenden Ergebnissen und Risikoeinstufungen und den im Rahmen der Strategiesetzung festgelegten Risikokriterien bzw. der Risikoeinstellung des jeweiligen Unternehmens durchzuführen. Damit liefert die Risikobewertung die Entscheidungsgrundlage für die Risikosteuerung.[77]

58

Die wesentliche Aufgabe der Risikosteuerungist es, eine oder mehrere Maßnahmen, die den Grad bzw. den Level der zu steuernden Risiken ändern können, festzulegen und zu implementieren. Die Risikosteuerung ist als periodischer Prozess zu verstehen, der zunächst die Festlegung und Beurteilung der Maßnahmen sowie des verbleibenden Risikolevels umfasst. Sofern der verbleibende Risikolevel angesichts der Risikoeinstellung nicht akzeptabel ist, ist eine neue Maßnahme zu entwickeln und zu implementieren. Die neue Maßnahme ist sodann ebenfalls einer Wirksamkeitsbeurteilung zu unterziehen. Als Maßnahmen kommt je nach Risiko und Risikoeinstellung eine Vielzahl von möglichen Handlungen in Betracht. Beispielsweise kann eine vollständige Risikovermeidung dadurch erreicht werden, dass die risikobehaftete Aktivität nicht weiter- bzw. durchgeführt wird. Eine Risikoreduzierung kann z.B. durch Maßnahmen zur Entfernung der Risikoquelle oder zur Veränderung der Eintrittswahrscheinlichkeit bzw. der Auswirkung, erzielt werden. Eine Risikoteilung kann durch Maßnahmen zur Einbeziehung weiterer Akteure, z.B. durch Verträge, umgesetzt werden. Daneben stellt zudem die Risikoakzeptanz eine Entscheidungsmöglichkeit für das Unternehmen dar, d.h. das Unternehmen verfolgt die risikobehaftete Aktivität weiter, ohne jegliche Risikosteuerungsmaßnahmen zu treffen.[78] Im Rahmen der Auswahl der Risikosteuerungsmaßnahmen sollte eine Abwägung der Kosten und des Arbeitsaufwands mit dem erzielbaren Nutzen der jeweiligen Maßnahme unter Berücksichtigung der gesetzlichen, regulatorischen und unternehmensinternen Anforderungen erfolgen. Die Auswahl sollte in einem Maßnahmenplan festgehalten werden, welcher klar die einzelnen Maßnahmen sowie deren Priorität festlegt. Zudem sollte der Maßnahmenplan weitere Informationen, wie z.B. die Gründe für die gewählten Maßnahmen (sowie der erwartete Nutzen), die Verantwortlichkeiten für die Umsetzung der Maßnahmen, die erforderlichen Ressourcen, messbare Leistungsindikatoren, Berichterstattungs- und Monitoringanforderungen sowie die Zeitplanung, beinhalten.[79]

59

Die Wirksamkeit und Wirtschaftlichkeit des Risikomanagementprozesses und der Risikosteuerung sollten einer Überwachung (Monitoring)und Überprüfung (Review)unterliegen, die in einem regelmäßigen Turnus oder einzelfallbezogen erfolgen können. Es ist erforderlich, dass die Verantwortlichkeiten für den Überwachungsprozess klar festgelegt sind. Die Ziele des Überwachungsprozesses sind insbesondere die Gewährleistung, dass sämtliche Kontrollen und Maßnahmen wirksam und leistungsfähig sind, Informationen zur Verbesserung des Risikomanagements erhalten werden (insbesondere aus Fehlern und negativen Ereignissen), Veränderungen der externen und internen Rahmenbedingungen sowie der Risikoeinstellung und des zugrunde liegenden Risikos erkannt sowie neu entstehende Risiken identifiziert werden. Um diese Ziele zu erreichen, sollte der Überwachungsprozess daher alle Aspekte des Risikomanagementprozesses bzw. des Risikomanagementsystems umfassen. Die Ergebnisse des Überwachungsprozesses sollten insbesondere in die interne Berichterstattung aufgenommen werden, damit diese dem Management als Informationen, insbesondere für den Verbesserungsprozess, vorliegen.[80] Daneben sollte eine angemessene Dokumentation des Risikomanagementprozesses vorgenommen werden, um die Durchführung von Risikomanagementaktivitäten nachweisen zu können.[81]

60

Wie vorstehend bereits dargestellt, sollten die Ergebnisse des Risikomanagementprozesses und der Risikoüberwachung in die Risikoberichterstattungeingehen, welche die Informationsbasis für die Anpassung oder Fortentwicklung der Unternehmens- und Risikostrategie darstellt. Zusammenfassend zeigt sich somit, dass das RMS ein geschlossener Kreislauf ist, welcher sich kontinuierlich fortentwickelt und auf die Bewältigung von Risiken auf Basis von Informationen und der Risikoneigung des jeweiligen Unternehmens abzielt.[82]

61

Zusammenfassend kann festgehalten werden, dass das Risikomanagementsystem den Rahmen für die in die Unternehmensorganisation integrierten Prozesse zur Risikoerkennung, Risikobewertung und Risikobewältigung bildet und die Erreichung der definierten Unternehmensziele unterstützen soll.

62

Beim Risikofrüherkennungssystem handelt es sich aufgrund der Kodifizierung in § 91 Abs. 2 AktG um einen Pflichtbestandteil der Unternehmensorganisation von Aktiengesellschaften. Konkret wird in § 91 Abs. 2 AktG die Pflicht des Vorstands geregelt, geeignete Maßnahmen zu treffen, d.h. insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Basierend auf der allgemein anerkannten Ausstrahlungswirkung ist diese Verpflichtung auch dem Pflichtenkreis der Geschäftsführer von Gesellschaften anderer Rechtsform zuzurechnen.[83]

63

Während – wie in Rn. 31 ff.dargestellt – das Risikomanagementsystem „die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“[84] umfasst, stellt das Risikofrüherkennungssystem auf die Früherkennung bestandsgefährdender Entwicklungen ab und ist somit lediglich ein integrierter Teilaspekt des Risikomanagementsystems.[85]

64

Unter dem Begriff bestandsgefährdende Entwicklungen werden nachteilige Veränderungen von Risiken verstanden, die in der Lage sind, den Fortbestand des Unternehmens zu gefährden. Dabei handelt es sich nicht um statische Risikozustände, sondern um Negativentwicklungen. Demzufolge können als bestandsgefährdende Risiken z.B. risikobehaftete Geschäfte, Unrichtigkeiten in der Rechnungslegung oder Verstöße gegen gesetzliche Vorschriften angesehen werden, die eine wesentliche Auswirkung auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft haben können. Wesentliches Kriterium für die Kategorisierung als bestandsgefährdendes Risiko ist, dass dadurch insbesondere das Insolvenzrisiko der Gesellschaft erheblich gesteigert oder hervorgerufen wird.[86]

65

Wesentliche Aufgabe des Risikofrüherkennungssystems ist es, dem Vorstand bzw. der Geschäftsführung so frühzeitig Kenntnis über bestandsgefährdende Entwicklungen zu verschaffen, dass diese noch rechtzeitig Gegenmaßnahmen ergreifen können, um eine konkrete Bestandsgefährdung zu vermeiden.[87] Folgt man der herrschenden Meinung im juristischen Schrifttum, so ist aus § 91 Abs. 2 AktG keine Pflicht zur Einrichtung eines umfassenden Risikomanagements abzuleiten. Die Pflicht zum umfassenden Risikomanagement kann sich vielmehr aus den allgemeinen Sorgfaltspflichten eines Geschäftsleiters gem. § 93 Abs. 1 AktG und § 43 Abs. 1 GmbHG ergeben.[88] Dennoch sollte ein angemessenes Risikofrüherkennungssystem ein Mindestmaß an Maßnahmen aufweisen. Zu diesen Maßnahmen sind insbesondere die Festlegung der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können, die Risikoerkennung und Risikoanalyse, die Risikokommunikation, die Zuordnung von Verantwortlichkeiten und Aufgaben, die Einrichtung eines Überwachungssystems und die Dokumentation der getroffenen Maßnahmen zu zählen.[89] Die konkrete Ausgestaltung und der Detaillierungsgrad des RFS sollten jedoch individuell nach der Größe, Komplexität und Branchenzugehörigkeit des jeweiligen Unternehmens sowie nach der Frage, ob ein Kapitalmarktzugang besteht, ausgerichtet werden.[90]