Dr. Oliver Bungartz über Risikomanagement für Aufsichtsräte (Foto: privat)
Nachgefragt bei: Dr. Oliver Bungartz
Bungartz: „Aufsichtsrat muss Wirksamkeit des Risikomanagementsystems beurteilen”
ESV-Redaktion Management und Wirtschaft
14.12.2018
Dr. Oliver Bungartz, Autor des kürzlich erschienenen Buches „Risikomanagement für Aufsichtsräte”, gibt im Interview mit der ESV-Redaktion Auskunft über die Wirksamkeit eines Risikomanagementsystems (RMS) sowie über Probleme und Unterstützung bei dessen Beurteilung.
Welche Aufgaben hat der Aufsichtsrat in Bezug auf das Risikomanagement?
Oliver Bungartz: Der Aufsichtsrat muss nach § 107 Abs. 3 AktG die u.a. Wirksamkeit des Risikomanagementsystems beurteilen. Die Wirksamkeit beinhaltet neben der Existenzprüfung eine Einschätzung, ob das RMS angemessen aufgebaut ist (Aufbauprüfung) und ob es einwandfrei funktioniert (Funktionsprüfung). Die zunächst recht harmlos klingende gesetzliche Forderung „Beurteilung der Wirksamkeit” beinhaltet damit eine vollumfängliche Systemprüfung als Voraussetzung der Erfüllung der Überwachungsaufgabe des Aufsichtsrats in Bezug auf das RMS.
Der Deutsche Corporate Governance Kodex fordert die Beurteilung der Wirksamkeit des RMS. Wie gelingt dem Aufsichtsrat das am besten?
Oliver Bungartz: Auch der DCGK fordert vom Aufsichtsrat die Überwachung des RMS. Im Prinzip ist diese Forderung nichts Anderes als was schon gesetzlich im Aktiengesetz verankert ist. Im DCGK sind nur weitergehende Anforderungen bzw. Konkretisierungen enthalten, was die Überwachungsaufgabe des Aufsichtsrats in Bezug auf das RMS angeht.
Welche Faktoren sind dabei besonders wichtig?
Oliver Bungartz: Der DCGK greift die gesetzliche Verpflichtung des Aufsichtsrats zur Beurteilung der Wirksamkeit des RMS auf und nennt noch weitere wesentliche Faktoren, die im Zusammenhang mit den anderen Elementen der Corporate Governance, d.h. der Führung, Verwaltung und Überwachung eines Unternehmens stehen, wie z.B.
Oliver Bungartz: Die typischen Risiken oder Probleme bei der Beurteilung der Wirksamkeit des RMS durch den Aufsichtsrat liegen teilweise in der fehlenden Sachkenntnis im Bereich RMS und interne Kontrollverfahren und vor allem in der fehlenden Zeit des Aufsichtsrats, seinen Überwachungsaufgaben in dieser Hinsicht nachzukommen. In der Praxis kommt häufig das Problem der fehlenden und / oder unzureichenden Dokumentation des RMS hinzu. Strenggenommen ist weder eine Aufbau- noch Funktionsprüfung des RMS ohne angemessene Dokumentation möglich, womit auch die Beurteilung der Wirksamkeit des RMS nicht vorgenommen werden kann. Dies resultiert letztlich darin, dass der Aufsichtsrat seine Überwachungspflicht in Bezug auf das RMS nicht ordnungsgemäß wahrnehmen könnte.
Von welchen Stellen im Unternehmen kann der Unterstützung bei der Beurteilung verlangen oder erwarten?
Oliver Bungartz: Der Aufsichtsrat kann und muss bei der Beurteilung der Wirksamkeit des RMS unterstützt werden. Im Falle der Existenz einer Internen Revision im Unternehmen ist die Prüfung des RMS eine originäre Aufgabe dieser Funktion. Die Prüfung des RMS kann aber beispielsweise auch durch einen externen Prüfer ausgeführt werden, wozu z.B. das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) mit dem Prüfungsstandards IDW PS 981 einen entsprechenden Prüfungsstandard entwickelt hat.
Die Fortsetzung des Interviews lesen hier auf COMPLIANCEdigital.
(ESV/ps)
Oliver Bungartz: Der Aufsichtsrat muss nach § 107 Abs. 3 AktG die u.a. Wirksamkeit des Risikomanagementsystems beurteilen. Die Wirksamkeit beinhaltet neben der Existenzprüfung eine Einschätzung, ob das RMS angemessen aufgebaut ist (Aufbauprüfung) und ob es einwandfrei funktioniert (Funktionsprüfung). Die zunächst recht harmlos klingende gesetzliche Forderung „Beurteilung der Wirksamkeit” beinhaltet damit eine vollumfängliche Systemprüfung als Voraussetzung der Erfüllung der Überwachungsaufgabe des Aufsichtsrats in Bezug auf das RMS.
Der Deutsche Corporate Governance Kodex fordert die Beurteilung der Wirksamkeit des RMS. Wie gelingt dem Aufsichtsrat das am besten?
Oliver Bungartz: Auch der DCGK fordert vom Aufsichtsrat die Überwachung des RMS. Im Prinzip ist diese Forderung nichts Anderes als was schon gesetzlich im Aktiengesetz verankert ist. Im DCGK sind nur weitergehende Anforderungen bzw. Konkretisierungen enthalten, was die Überwachungsaufgabe des Aufsichtsrats in Bezug auf das RMS angeht.
| Zur Person |
| Dr. Oliver Bungartz ist „Certified Internal Auditor (CIA)”, „Certified Information Systems Auditor (CISA)”, „Certified Fraud Examiner (CFE)”, „Certified Government Auditing Professional (CGAP)”, „Certified Information Security Manager (CISM)”, „Certified in Risk and Information Systems Controls (CRISC)” und hat eine „Certification in Control Self-Assessment (CCSA)”, eine „Certification in Risk Management Assurance (CRMA)” sowie eine Akkreditierung zum „Quality Assessment / Validation” des „The Institute of Internal Auditors (The IIA)” in den USA und ein Zertifikat als „Prüfer für Interne Revisionssysteme” des Deutschen Instituts für Interne Revision e.V. (DIIR). |
Welche Faktoren sind dabei besonders wichtig?
Oliver Bungartz: Der DCGK greift die gesetzliche Verpflichtung des Aufsichtsrats zur Beurteilung der Wirksamkeit des RMS auf und nennt noch weitere wesentliche Faktoren, die im Zusammenhang mit den anderen Elementen der Corporate Governance, d.h. der Führung, Verwaltung und Überwachung eines Unternehmens stehen, wie z.B.
- besondere Kenntnisse und Erfahrungen in der Anwendung von Rechnungslegungsgrundsätzen und internen Kontrollverfahren
- regelmäßige Information des Aufsichtsrats durch den Vorstand in Bezug auf die Geschäftsentwicklung, die Risikolage, das Risikomanagement und die Compliance
- regelmäßige Kommunikation des Aufsichtsrats zwischen den Sitzungen mit dem Vorstand zur Beratung in Dingen wie der Planung, der Geschäftsentwicklung, der Risikolage, des Risikomanagements und der Compliance
Oliver Bungartz: Die typischen Risiken oder Probleme bei der Beurteilung der Wirksamkeit des RMS durch den Aufsichtsrat liegen teilweise in der fehlenden Sachkenntnis im Bereich RMS und interne Kontrollverfahren und vor allem in der fehlenden Zeit des Aufsichtsrats, seinen Überwachungsaufgaben in dieser Hinsicht nachzukommen. In der Praxis kommt häufig das Problem der fehlenden und / oder unzureichenden Dokumentation des RMS hinzu. Strenggenommen ist weder eine Aufbau- noch Funktionsprüfung des RMS ohne angemessene Dokumentation möglich, womit auch die Beurteilung der Wirksamkeit des RMS nicht vorgenommen werden kann. Dies resultiert letztlich darin, dass der Aufsichtsrat seine Überwachungspflicht in Bezug auf das RMS nicht ordnungsgemäß wahrnehmen könnte.
Von welchen Stellen im Unternehmen kann der Unterstützung bei der Beurteilung verlangen oder erwarten?
Oliver Bungartz: Der Aufsichtsrat kann und muss bei der Beurteilung der Wirksamkeit des RMS unterstützt werden. Im Falle der Existenz einer Internen Revision im Unternehmen ist die Prüfung des RMS eine originäre Aufgabe dieser Funktion. Die Prüfung des RMS kann aber beispielsweise auch durch einen externen Prüfer ausgeführt werden, wozu z.B. das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) mit dem Prüfungsstandards IDW PS 981 einen entsprechenden Prüfungsstandard entwickelt hat.
Die Fortsetzung des Interviews lesen hier auf COMPLIANCEdigital.
 |
Risikomanagement für Aufsichtsräte Die Überwachung der Wirksamkeit des Risikomanagementsystems (RMS) zählt zu den elementaren Pflichten des Aufsichtsrats. Gefordert vom Deutschen Corporate Governance Kodex, nimmt das Aktiengesetz die Mandatsträger auch rechtlich in die Verantwortung.
Die vorgestellten Beurteilungsmethoden, viele Arbeitshilfen und Checklisten unterstützen Sie dabei, die entscheidenden Stellschrauben leistungsfähiger RMS schneller zu erkennen und zielgerichtet zu kontrollieren. |
(ESV/ps)
Programmbereich: Management und Wirtschaft