Sie sind auf Seite 1von 18

I.

Prfung des Risikofrherkennungssystems


1. Allgemeines
1 Ebenso wie die Ausgestaltung des Risikofrherkennungssystems, ist die Prfung des Risikofrherkennungssystems ein sehr komplexes Thema. Sie verlangt vom WP u.a. eine sehr gute Marktkenntnis, ausgeprgten betriebswirtschaftlichen Sachverstand, viel Erfahrung und fundiertes Know-how ber alle das zu prfende Unternehmen betreffende Belange1. Bei der Prfung handelt es sich um eine Systemprfung (Eignungsprfung), in deren Rahmen das System hinsichtlich der Erfllung der gesetzlichen Vorgaben zu prfen ist. Des Weiteren ist eine Prfung hinsichtlich der Funktionsfhigkeit des Systems im gesamten GJ. durchzufhren. Bereits an dieser Stelle muss herausgestellt werden, dass es sich bei der Prfung des Risikofrherkennungssystems nicht um eine klassische Checklistenprfung mit JA/NEINAntworten handeln kann: Die konkrete Ausgestaltung des Risikofrherkennungssystems ist ebenso unternehmensindividuell wie die Risikolandschaft des Unternehmens. Es existieren weder das klassische Risikofrherkennungssystem noch die typischen Unternehmensrisiken. Selbst bei Unternehmen einer Branche sind teilw. erhebliche Unterschiede feststellbar. Auch die Bestimmung der Wesentlichkeitsgrenzen zur Abgrenzung bestandsgefhrdender und wesentlicher Risiken ist unternehmensindividuell vorzunehmen. Daher ist das persnliche, analytische Urteilsvermgen des APr. bei der Prfung des Risikofrherkennungssystems in besonderem Mae gefragt.

2. Prfungsanlsse
3 Die mglichen Anlsse zur Prfung des Risikofrherkennungssystems sind vielgestaltig. Einerseits kann es sich um eine unmittelbare Prfung des Risikofrherkennungssystems aufgrund einer gesetzlichen Pflicht (vgl. Rn. 71), einer freiwilligen vertraglichen Erweiterung der Jahresabschlussprfung (vgl. Rn. 74) oder aufgrund eines Sonderauftrags (vgl. Rn. 80) handeln. Andererseits kann es jedoch auch im Rahmen der risikoorientierten Prfung des JA und LB erforderlich sein, das Risikofrherkennungssystems zu betrachten und zu analysieren (mittelbare Prfung des Risikofrherkennungssystems)2. Dies gilt sowohl fr die Beurteilung des internen Kontrollsystems als auch fr die Beurteilung der Fortfhrungsprognose des Unternehmens. a) aa) 4 Unmittelbare Prfung des Risikofrherkennungssystems Gesetzliche Pflicht zur Prfung des Risikofrherkennungssystems

Gem. dem durch das KonTraG eingefhrten 317 Abs. 4 HGB3 hatte der APr. zunchst nur bei AG, die Aktien mit amtl. Notierung ausgegeben haben, im Rahmen der Prfung zu beurteilen, ob der Vorstand die ihm nach 91 Abs. 2 AktG obliegenden Manahmen in geeigneter Form getroffen hat und ob das danach einzurichtende berwachungssystem seine Aufgaben erfllen kann4. Im Gegensatz zur Regelung des 91 Abs. 2 AktG5 war 317 Abs. 4 HGB nicht analogiefhig6. AG,
1

Vgl. Bcking/Orth, BFuP 1999, S. 425; Drner, DB 1998, S. 3; Gelhausen, AG 1997, Sonderheft, S. 80; vgl. IDW PS 340, Tz. 20. 2 hnlich Brebeck/Frschle (1999), S. 187. Pollanz, DB 1999, S. 399, weist auf den Konnex von der Prfung des Risikofrherkennungssystems zur risikoorientierten JA- und Lageberichtsprfung hin. 3 Gem. Art. 46 Abs. 1 S. 1 EGHGB war die Prfungsvorschrift des 317 Abs. 4 HGB erstmals sptestens auf das nach dem 31.12.1998 beginnende GJ. anzuwenden. 4 Eine gesonderte Erwhnung der Prfung des Risikofrherkennungssystems im Auftragsschreiben und in der Auftragsbesttigung zur Jahresabschlussprfung war daher bei amtl. notierten AG nicht erforderlich. 5 Vgl. Rn. 14.

deren Aktien am geregelten Markt, am Neuen Markt oder im Freiverkehr gehandelt werden, unterlagen somit zunchst nicht dieser Prfungspflicht7. Gleiches gilt fr Gesellschaften mit beschrnkter Haftung, Personenhandelsgesellschaften und Unternehmen anderer Rechtsformen. Nach der nderung des 317 Abs. 4 HGB durch das Vierte Finanzmarktfrderungsgesetz wurde die Prfungspflicht auf alle brsennotierten AG im Sinne von 3 Abs. 2 AktG erweitert (ohne Freiverkehr)8. Diese Erweiterung gilt fr GJ., die nach dem 31.12.2001 begannen. Die Pflicht zur Erweiterung der gesetzlichen Jahresabschlussprfung um die Prfung des Risikofrherkennungssystems besteht somit nur fr brsennotierte AG. Bei allen anderen Gesellschaften ist daher grds. keine Prfung des Risikofrherkennungssystems nach 317 Abs. 4 HGB vorzunehmen. 5 Eine Prfungspflicht besteht auch fr solche Unternehmen, die einer Prfung nach 53 HGrG unterzogen werden. Gegenstand einer erweiterten Prfung nach 53 HGrG ist auch die Ordnungsmigkeit der Geschftsfhrung. Die Ordnungsmigkeit der Geschftsfhrung schliet die Einrichtung eines Risikofrherkennungssystems ein, da dies zu den Sorgfaltspflichten eines ordentlichen und gewissenhaften Geschftsleiters gehrt. Das Risikofrherkennungssystem ist Bestandteil der Geschftsfhrungsorganisation und des Geschftsfhrungsinstrumentariums9. Somit besteht im Rahmen der Prfung der Ordnungsmigkeit der Geschftsfhrung nach 53 HGrG10 die Pflicht zur Prfung des Risikofrherkennungssystems. Die Vorgehensweise bei der Prfung des Risikofrherkennungssystems entspricht dabei grds. dem Prfungsvorgehen bei der gesetzlichen Prfung nach 317 Abs. 4 HGB11. bb) 7 Freiwillige Prfung des Risikofrherkennungssystems Auer in den oben geschilderten Fllen existiert keine unmittelbare gesetzliche Pflicht zur Prfung des Risikofrherkennungssystems eines Unternehmens. Wie bereits dargestellt (vgl. Rn. 14), ist der Kreis der Unternehmen, die ber ein Risikofrherkennungssystem verfgen mssen, jedoch wesentlich grer12. Bei diesen Unternehmen besteht die Mglichkeit, durch vertragliche Vereinbarung zwischen der Gesellschaft und dem APr. den Prfungsauftrag fr Pflichtprfungen sowie fr freiwillige Prfungen des JA um die Prfung des Risikofrherkennungssystems zu erweitern13. Im Gesellschaftsvertrag oder in der Satzung einer Gesellschaft kann eine solche Erweiterung des Prfungsauftrags auch vorgeschrieben werden. Gem. 317 Abs. 4 HGB hat die Prfung des Risikofrherkennungssystems im Rahmen der Jahresabschlussprfung zu erfolgen. Daher ist davon auszugehen, dass die Prfung des Risikofrherkennungssystems auch bei zustzlicher Beauftragung Bestandteil der Abschlussprfung wird14. Dies hat zur Folge, dass einerseits ber das Ergebnis der Prfung des
6 7

Vgl. Klar, DB 1997, S. 686. Hierzu kritisch Bcking/Orth, DB 1998, S. 1874, 1877-1879; Scharpf (1999), S. 182. 8 BGBl. I 2002, S. 2010. Eine gesonderte Erwhnung der Prfung des Risikofrherkennungssystems im Auftragsschreiben und in der Auftragsbesttigung zur Jahresabschlussprfung ist daher bei brsennotierten AG nicht erforderlich. 9 IDW PS 720, Fragenkreis 6. 10 Die Prfungsvorschrift des 53 HGrG gilt fr Unternehmen in einer Rechtsform des privaten Rechts, bei denen einer Gebietskrperschaft die Mehrheit der Anteile oder mindestens 25 Prozent der Anteile und ihr zusammen mit anderen Gebietskrperschaften die Mehrheit der Anteile gehren. Vgl. allgemein zur Prfung nach 53 HGrG D Rn. 22, Q Rn. 798. 11 Vgl. hierzu Rn. 101. 12 Vgl. hierzu Bcking/Orth, BFuP 1999, S. 420, die dieses Missverhltnis als offenen Systembruch kritisieren. 13 Vgl. IDW PS 340, Tz. 2; Scharpf, DB 1997, S. 738. 14 Vgl. Gelhausen, BFuP 1999, S. 395. Aus Grnden der Rechtsklarheit sollte im Prfungsauftrag ausdrcklich

Risikofrherkennungssystems in Analogie zu 321 Abs. 4 HGB in einem besonderen Teil des Prfungsberichts zur Jahresabschlussprfung berichtet werden sollte15 und andererseits, dass der APr. fr die Prfung des Risikofrherkennungssystems keine gesonderte Haftungsbeschrnkung vereinbaren muss16. 9 Bei einer freiwilligen Prfung des Risikofrherkennungssystems aufgrund einer Erweiterung des Prfungsauftrags sind die gleichen Grundstze und Mastbe anzuwenden wie bei einer gesetzlichen Pflichtprfung nach 317 Abs. 4 HGB. Insbesondere ist es nicht sachgerecht, nur im Hinblick auf die Tatsache, dass die Prfung freiwillig erfolgt, geringere Anforderungen an die Ausgestaltung des Risikofrherkennungssystems zu stellen. Aufgrund der Einbindung in die Jahresabschlussprfung ist die Erweiterung des Prfungsauftrags von den Gesellschaftsorganen zu vereinbaren, die auch fr die Erteilung des Prfungsauftrags zustndig sind. Bei AG hat nach 111 Abs. 2 S. 3 AktG der AR diese Aufgabe. Dies gilt grds. auch fr GmbH, die ber einen AR verfgen17. Wie fr andere Erweiterungen auch, muss die Beauftragung von einem Beschluss des Gesamtaufsichtsrats oder eines zustndigen Ausschusses gedeckt sein. Die fr den Vertragsschluss notwendige Erklrung kann dann vom Vorsitzenden des AR abgegeben werden. Wenn der Auftrag zur Prfung des JA von den Geschftsfhrern erteilt wird, erstreckt sich deren Zustndigkeit auch auf den Auftrag zur Prfung des Risikofrherkennungssystems. Dies gilt selbst dann, wenn die zustzliche Beauftragung von der Gesellschafterversammlung gewnscht wird. Es ist festzustellen, dass einer freiwilligen Prfung des Risikofrherkennungssystems durch den APr. hohe Bedeutung zukommt und diese Bedeutung in der Zukunft noch weiter zunehmen wird. Die Nachfrage nach einer freiwilligen Prfung wird ausgelst durch das Interesse unterschiedlichster Personenkreise nach Informationen ber das Risikofrherkennungssystem eines Unternehmens; diesbezglich sind insbesondere zu nennen: Aufsichts-/Verwaltungsrat, Geschftsleitung des MU, eigene Geschftsleitung, Aktionre (Hauptversammlung), Wertpapierschutzvereinigung, Analysten und Banken18. cc) 13 Sonderauftrag zur Prfung des Risikofrherkennungssystems Neben der Prfung des Risikofrherkennungssystems im Rahmen der Abschlussprfung (auf gesetzlicher oder freiwilliger Basis) kann diese Prfung auch auf der Basis eines Sonderauftrags durchgefhrt werden. Gem. 111 Abs. 2 S. 2 AktG kann der AR fr bestimmte Aufgaben wie z.B. die Prfung des Risikofrherkennungssystems WP als besondere Sachverstndige beauftragen19. Die Vergabe eines Sonderauftrags zur Prfung des Risikofrherkennungssystems sollte auf jene Flle beschrnkt werden, in denen der Auftrag zur Prfung des Risikofrherkennungssystems aus bergeordneten Grnden nicht an den APr. erteilt werden soll oder vom Zeitablauf her eine Durchfhrung parallel zur Abschlussprfung nicht mglich ist. Im Hinblick auf den Zusammenhang
klargestellt werden, ob eine Prfung nach 317 Abs. 4 HGB analog und somit eine Erweiterung der Abschlussprfung erfolgen soll. 15 Vgl. IDW PS 450, Tz. 108. Zur Berichterstattung vgl. Rn. 144. 16 Bei gesetzlichen Pflichtprfungen gilt die allgemeine Haftungsbeschrnkung des 323 Abs. 2 HGB, bei freiwilligen Abschlussprfungen gilt die fr die Abschlussprfung gesondert vereinbarte Haftungsbeschrnkung. 17 Es kann sich um einen sog. mitbestimmten AR gem. 25 Abs. 1 Nr. 2 MitbestG, 77 Abs. 1 S. 2 BetrVG 1952 i.V.m. 111 Abs. 2 AktG oder einen sog. fakultativen AR gem. 52 Abs. 1 GmbHG i.V.m. 111 Abs. 2 AktG (soweit die Anwendung von 111 Abs. 2 AktG nicht im Gesellschaftsvertrag ausgeschlossen wurde) handeln. 18 hnlich Vogler/Gundert, DB 1998, S. 2377. 19 Vgl. Brebeck/Frschle (1999), S. 174.

10

11

12

14

zwischen Risikofrherkennung und Risikoberichterstattung im LB20 ist grds. zu empfehlen, die Prfung des Risikofrherkennungssystems parallel zur Abschlussprfung und hier zu deren Beginn21 durchzufhren. 15 Allerdings besteht im Falle einer gesonderten Beauftragung die Mglichkeit, von den Prfungsanforderungen des 317 Abs. 4 HGB abzuweichen. Anstelle einer vollumfnglichen Prfung des Risikofrherkennungssystems analog 317 Abs. 4 HGB kann die Prfung auf einzelne Elemente dieses Systems z.B. die Risikoidentifikation oder auf einzelne Unternehmensbereiche z.B. Beschaffung oder Treasury beschrnkt werden. In diesem Fall ist im Bericht zu diesem Sonderauftrag22 ausdrcklich darauf hinzuweisen, dass es sich nicht um eine Prfung entsprechend 317 Abs. 4 HGB handelte, sondern nur Teilaspekte des Risikofrherkennungssystems analysiert und beurteilt wurden. Ein Gesamturteil ber das Risikofrherkennungssystem des Unternehmens darf dementsprechend nicht enthalten sein. Erfolgt die gesondert beauftragte Prfung zum Zweck der berwachung der Wirksamkeit des Risikomanagements durch den Prfungsausschuss bzw. Aufsichtsrat, so ist bei der Ausgestaltung von Auftrag und Prfungsvorgehen der breitere Umfang23 gegenber einer Prfung gem. 317 Abs. 4 HGB zu bercksichtigen. Entsprechend werden zur Abdeckung aller berwachungsaspekte zum Risikomanagement in der Regel auch Prfungshandlungen ber den in IDW PS 340 enthaltenen Umfang hinaus erforderlich sein. Fr die auf Basis eines Sonderauftrags durchgefhrte Prfung des Risikofrherkennungssystems eines Unternehmens gilt die Haftungsbeschrnkung fr die Abschlussprfung nicht. Es bedarf daher einer gesonderten haftungsbeschrnkenden Vereinbarung speziell fr diesen Sonderauftrag24. b) 17 Mittelbare Prfung des Risikofrherkennungssystems Es stellt sich die Frage, ob der APr. sich neben den o.g. Fllen, in denen er auf gesetzlicher oder vertraglicher Basis verpflichtet ist, eine unmittelbare, d.h. originre Prfung des Risikofrherkennungssystems durchzufhren, auch im Rahmen der Prfung des JA und LB mit Fragen der Risikofrherkennung beschftigen muss. Dieser Fragestellung nach einer mittelbaren oder derivativen Prfung des Risikofrherkennungssystems wird im Folgenden nachgegangen. aa) 18 Prfung des Risikofrherkennungssystems im Zusammenhang mit 321 Abs. 1 S. 3 HGB

16

Gem. 321 Abs. 1 S. 3 HGB hat der APr. zu berichten, wenn ein schwerwiegender Versto der gesetzlichen Vertreter des Unternehmens gegen das Gesetz vorliegt. Die Einrichtung eines Risikofrherkennungssystems zhlt zu den gesetzlichen Pflichten der gesetzlichen Vertreter eines Unternehmens25. Die Nichteinrichtung eines Risikofrherkennungssystems stellt somit einen schwerwiegenden Gesetzesversto des Vorstands oder der Geschftsfhrer dar, der nach 321 Abs. 1 S. 3 HGB im sog. Vorweg-Abschnitt des Prfungsberichts darzustellen ist. Derartige Verste mssen bei Durchfhrung der Prfung ... festgestellt worden sein, d.h. im Rahmen der Abschlussprfung nicht gezielt gesucht werden.

Vgl. hierzu Rn. 92. Vgl. Rn. 119. 22 Es ist zwingend ein gesonderter Bericht zu erstellen. Vgl. IDW PS 450, Tz. 19. 23 107 Abs. 3 S. 2 AktG fordert eine berwachung des Risikomanagementsystems, welches ber den Umfang des Risikofrherkennungssystems nach 91 Abs. 2 AktG hinaus auch eine berwachung der Manahmen zur Risikosteuerung beinhaltet. 24 6 Vgl. ADS , 323 HGB, Rn. 141. 25 Aufgrund der sog. Ausstrahlungswirkung des 91 Abs. 2 AktG gilt die Verpflichtung zur Einrichtung eines Risikofrherkennungssystems grundstzlich rechtsformunabhngig, d.h. nicht nur fr die Vorstnde einer Aktiengesellschaft. Vgl. auch die Ausfhrungen in Rn. 14, vgl. IDW PS 450, Tz. 107.
21

20

19

Eine Pflicht zur Prfung des Risikofrherkennungssystems kann aus der Regelung des 321 Abs. 1 S. 3 HGB daher nicht abgeleitet werden. bb) Prfung des Risikofrherkennungssystems im Zusammenhang mit der Prfung der Fortbestandsprognose

20

Im Rahmen der Jahresabschlusserstellung und -prfung kommt der Frage nach dem Fortbestand des Unternehmens (going concern) eine zentrale Bedeutung zu. Zur Beurteilung der Angemessenheit der Zugrundelegung der going-concern-Prmisse26 durch die Geschftsleitung des Unternehmens muss der APr. im Wege einer Plausibilittsprfung untersuchen, ob alle verfgbaren Informationen verwendet wurden, die grundlegenden Annahmen realistisch und in sich widerspruchsfrei sind sowie die Prognoseverfahren richtig gehandhabt wurden. In diesem Zusammenhang muss sich der APr. in der Regel u.a. auch davon berzeugen, ob ein angemessenes Risikofrherkennungssystem eingerichtet wurde. Darber hinaus sind die vom Risikofrherkennungssystem generierten Informationen darauf zu analysieren, inwieweit sie Anlass dazu geben, die going-concern-Prmisse abzulehnen. Die unzureichende Einrichtung eines Risikofrherkennungssystems kann ggf. dazu fhren, dass der Nachweis ber die Fortfhrung des Unternehmens nicht erbracht werden kann. Im Regelfall wird jedoch bei der Prfung der Angemessenheit der Fortbestandsprognose nicht eine umfassende Prfung des Risikofrherkennungssystems durch den APr. erforderlich sein. Gewhnlich wird es ausreichen, wenn der APr. sich einen berblick ber das vom Unternehmen eingerichtete Risikofrherkennungssystem verschafft. cc) Prfung des Risikofrherkennungssystems im Zusammenhang mit der Prfung des LB (Risiken und Chancen der knftigen Entwicklung)

21 22 23

24

Im Rahmen des LB ist gem. 289 Abs. 1 S. 4 HGB auf die Risiken und Chancen der knftigen Entwicklung einzugehen27. Dies gilt entsprechend fr den KLB gem 315 Abs. 1 S. 5 HGB. Den sog. Risikobericht28 (als Teil des LB) haben die gesetzlichen Vertreter smtlicher Gesellschaften zu erstellen, die auch einen (Konzern-)LB aufstellen mssen29. Nach 289 Abs. 2 Nr. 2 HGB soll der LB jeweils in Bezug auf die Verwendung von Finanzinstrumenten durch die Gesellschaft und sofern dies fr die Beurteilung der Lage oder der knftigen Entwicklung von Bedeutung ist auch eingehen auf die Risikomanagementziele und -methoden der Gesellschaft einschlielich ihrer Methoden zur Absicherung aller wichtigen Arten von Transaktionen, die im Rahmen der Bilanzierung von Sicherungsgeschften erfasst werden, sowie die Preisnderungs-, Ausfall- und Liquidittsrisiken sowie die Risiken aus Zahlungsstromschwankungen, denen die Gesellschaft ausgesetzt ist. Diese Erluterungspflicht umfasst somit nicht das gesamte Risikofrherkennungssystem im Sinne des 91 Abs. 2 AktG (i.d.F. des KonTraG), da sich die Erluterung ausschlielich auf die Verwendung von Finanzinstrumenten durch die Gesellschaft bezieht, sofern diese Verwendung fr die Beurteilung der Lage oder der voraussichtlichen Entwicklung des Unternehmens von Belang ist30.

25

Im Zusammenhang mit der Lageberichterstattung wird unter dem Begriff Risiko die Mglichkeit ungnstiger knftiger Entwicklungen verstanden, die mit einer erheblichen, wenn auch nicht
Vgl. R Rn. 411, 652. Zum LB der KapGes. siehe allgemein F Rn. 847. 28 Vgl. Kting/Htten, AG 1997, S. 251. 29 Kleine KapGes. ( 267 Abs. 1 HGB) brauchen gem. 264 Abs. 1 S. 3, 1. Hs. HGB keinen LB aufzustellen. 30 Vgl. IDW RH HFA 1.005, Tz. 30.
27 26

notwendigerweise berwiegenden Wahrscheinlichkeit erwartet werden 31. Der Gesetzgeber hat nicht definiert, wie derartige Risiken der knftigen Entwicklung zu ermitteln sind. In der Regel wird dies durch ein Risikofrherkennungssystem im Sinne des 91 Abs. 2 AktG geschehen32. Die Existenz eines angemessenen und wirksamen Risikofrherkennungssystems ist ein wesentlicher Garant fr eine ordnungsgeme Berichterstattung ber Risiken der knftigen Entwicklung im LB. 26 Auch ber den Umfang und die Abgrenzung der berichtspflichtigen Risiken sagt das Gesetz nichts aus. Es besteht jedoch in der Literatur Einigkeit darber, dass fr die Risikoberichterstattung im LB der Grundsatz der Wesentlichkeit gilt, d.h. es muss nicht ber jedes, noch so geringfgige Risiko berichtet werden33. Vielmehr erstreckt sich die Berichterstattung nur auf solche Risiken, die entweder bestandsgefhrdend oder zumindest von wesentlichem Einfluss auf die Vermgens-, Finanz- und Ertragslage sein knnen34. Hierbei kann es sich z.B. um Risiken aufgrund einer Vernderung externer Umfeldfaktoren, operative Risiken aus den betrieblichen Funktionsbereichen oder strategische Risiken handeln35. Die Risiken der knftigen Entwicklung sind im Risikobericht aufzufhren, zu erlutern und sofern mglich zu quantifizieren36. Es ist mindestens so umfassend zu berichten, dass sich der Leser auch dann, wenn die objektive oder subjektive Wahrscheinlichkeit des Eintritts eines Risiko nicht explizit angegeben wird, ein eigenes Bild von der Eintrittswahrscheinlichkeit machen kann37. Gem 289 Abs. 1 S.4 HGB sind im LB zustzlich die zu Grunde liegenden Annahmen anzugeben38. Gem 317 Abs. 2 S. 2 HGB ist bei der Prfung des LB und des KLB zu prfen, ob die berichtspflichtigen Risiken der knftigen Entwicklung zutreffend im LB dargestellt sind39. Die im Risikobericht enthaltenen Aussagen sind vom APr. im Wesentlichen auf Vollstndigkeit und Plausibilitt zu prfen40. Der Umfang der erforderlichen Prfungshandlungen ist unter anderem von der Art der Risikoberichterstattung im LB abhngig. Denkbar ist eine Brutto- oder eine Nettodarstellung 41. Die Risiken werden brutto dargestellt, wenn die mit ihnen verbundenen mglichen Auswirkungen ohne die Bercksichtigung von bereits vorhandenen Manahmen zur Risikobewltigung aufgezeigt werden. Bei der allgemein blichen Nettodarstellung wird dagegen nur auf die nach Bercksichtigung der Risikobewltigungsmanahmen42 verbleibenden Restrisiken eingegangen.

27

28

29

IDW RS HFA 1, Tz. 29; DRS 5, Rn. 9; DRS 15, Rn. 8. IDW RS HFA 1 wurde zwischenzeitlich aufgehoben (vgl. FN-IDW 2005, S. 530), ist aber inhaltlich im Wesentlichen weiter zutreffend. 32 Vgl. Baetge/Linen, BFuP 1999, S. 370; Saitz (1999), S. 74. 33 Vgl. z.B. Drner, WPg 1999, S. 447. 34 Vgl. Ernst, WPg 1998, S. 1028. 35 Vgl. DRS 15, Rn. 89. Zur Darstellung der bestandsgefhrdenden Risiken und der sonstigen Risiken mit wesentlichem Einfluss auf die Vermgens-, Finanz- und Ertragslage im LB vgl. allgemein DRS 15, Rn. 16. sowie IDW RS HFA 1, Tz. 30-36. 36 Vgl. Baetge/Schulze, DB 1998, S. 943; Baetge/Linen, BfuP 1999, S. 381. Zur Risikobewertung vgl. auch Rn. 49. 37 Vgl. Baetge/Schulze, DB 1998, S. 943. 38 Vgl. auch IDW RH HFA 1.007, Tz. 5. 39 Zur Prfung des LB siehe allgemein R Rn. 631. 40 Vgl. Bcking/Orth, WPg 1998 S. 358, 362; Forster, WPg 1998 S. 46; Gelhausen, AG Sonderheft 1997, S. 80. 41 Zur Brutto- und Netto-Bewertung vgl. Rn. 55. 42 Drner, WPg 1999, S. 447, vertritt die Auffassung, dass die Geschftsfhrung faktisch gezwungen sei, im LB ber beabsichtigte oder bereits eingeleitete Gegenmanahmen gegen Risiken der knftigen Entwicklung zu berichten.

31

30

Liegt eine Nettodarstellung der Risiken vor, muss der APr. nicht nur prfen, ob die Risiken vollstndig dargestellt wurden, sondern er muss zustzlich beurteilen, ob die beschriebenen Risikobewltigungsmanahmen tatschlich ergriffen wurden und geeignet sind, um die Risikoauswirkungen in der vom Unternehmen dargestellten Weise zu verringern. Die durch die Nettodarstellung der Risiken ausgelsten Prfungshandlungen gehen somit ber die im Rahmen einer Prfung des Risikofrherkennungssystems nach 317 Abs. 4 HGB erforderlichen Prfungshandlungen hinaus (vgl. hierzu Rn. 101)43. Ist ein Risikofrherkennungssystem im Unternehmen vorhanden, muss sich der APr. ein Verstndnis von diesem System verschaffen und das System analysieren, um die Verlsslichkeit und Vollstndigkeit der vom System generierten Daten beurteilen zu knnen44. Somit erfordert die Prfung des LB allgemein zumindest eine (Grob-)Analyse des Risikofrherkennungssystems des Unternehmens45. Ohne ein funktionsfhiges Risikofrherkennungssystem wird ein Unternehmen in der Regel nicht in der Lage sein, den Nachweis zu erbringen, dass alle wesentlichen Risiken im LB erfasst wurden46. Die vom Unternehmen gewhlte Darstellung im LB kann jedoch auch zwingend eine vollumfngliche Prfung des Risikofrherkennungssystems auslsen. Dies wre z.B. der Fall, wenn ein Unternehmen, das nicht ohnehin der Prfungspflicht des 317 Abs. 4 HGB unterliegt, im LB darlegt, dass es ber ein geeignetes und wirksames Risikofrherkennungssystem im Sinne des 91 Abs. 2 AktG verfgt. Eine solche Darstellung durch das Unternehmen ist nicht unzulssig und in der Praxis in dieser oder hnlicher Form immer hufiger anzutreffen. Diese Ausfhrungen des Unternehmens zum eingerichteten Risikofrherkennungssystem haben jedoch zur Folge, dass der APr. das Risikofrherkennungssystem in vollem Umfang prfen muss. Denn die in den 317, 321 und 322 HGB aufgestellten Anforderungen bewirken, dass smtliche Angaben im LB in die Prfung uneingeschrnkt einzubeziehen sind, d.h. auch solche Angaben, die ber den Katalog des 289 HGB hinausgehen47. Aus dem gleichen Grund mussten in der Vergangenheit auch die Chancen der knftigen Entwicklung, die im LB zulssigerweise48 ggf. dargestellt werden, um eine einseitige Risikodarstellung zu vermeiden, einer (Plausibilitts-)Prfung durch den APr. unterzogen werden. Gem 289 Abs. 1 HGB sind von den Unternehmen im Rahmen der Darstellung der voraussichtlichen Entwicklung neben den wesentlichen Risiken auch die wesentlichen Chancen zu beurteilen und zu erlutern. Dazu sind auch die zu Grunde liegenden Annahmen anzugeben. Der APr. hat nun auch analog zu den Risiken zu prfen, ob die Chancen der knftigen Entwicklung zutreffend dargestellt sind.
Vgl. Brebeck/Frschle (1999), S. 184. hnlich Bcking/Orth, BFuP 1999, S. 421/424. Sie betrachten es als fraglich, inwieweit der APr. den Risikobericht ohne eine Prfung des Risikofrherkennungssystems umfassend und abschlieend beurteilen kann. 6 45 hnlich Schindler/Rabenhorst, BB 1998, S. 1891. Schwcher ADS , 317 HGB, Rn. 174, die darauf hinweisen, dass die Prfung des Risikoberichts mit der Prfung des Risikofrherkennungssystems ggf. zu verbinden sei. Vgl. hierzu auch IDW PS 350, Tz. 10. 46 Sollte das Unternehmen ber kein wirksames Risikofrherkennungssystem verfgen, so kann hieraus nicht unmittelbar der zwingende Schluss gezogen werden, dass der LB nicht ordnungsgem ist. In diesem Fall sind jedoch sehr umfassende Einzelfallprfungen durch den APr. vorzunehmen. Er muss sicherstellen, dass durch eine vollstndige Bestandsaufnahme aller berichtspflichtigen Risiken (zur Risikoidentifikation vgl. Rn. 40 und zur Risikobewertung vgl. Rn. 47) seitens des Unternehmens die notwendigen Voraussetzungen fr eine ordnungsgeme Lageberichterstattung geschaffen wurden. 47 Vgl. IDW PS 350, Tz. 4, 6. 48 Vgl. Drner, WPg 1999, S. 446; Forster (1997), S. 945.
43 44

31

32

33

3. Prfungsgegenstand, art und umfang


34 Den nun folgenden Ausfhrungen zur Prfung des Risikofrherkennungssystems liegt sofern nicht explizit auf eine andere Prfungsgrundlage hingewiesen wird der Standardfall der gesetzlichen Pflichtprfung nach 317 Abs. 4 HGB zu Grunde. Die Verpflichtung zur Prfung des Risikofrherkennungssystems steht im Einklang mit der Weiterentwicklung des risikoorientierten Prfungsansatzes vom prfungsrisikoorientierten Prfungsansatz hin zum geschftsrisikoorientierten Prfungsansatz oder vom Financial Audit zum Business Audit49. Dabei bildet die Prfung des Risikofrherkennungssystems einen integralen Bestandteil der gesamten Jahresabschlussprfung, wobei z.B. die Ergebnisse aus der Analyse der Kenntnisse der Geschftsttigkeit und des wirtschaftlichen und rechtlichen Umfelds (IDW PS 230) in die Prfung einflieen. Die Elemente50 des geschftsrisikoorientierten Prfungsansatzes bilden somit wie im Folgenden aufgezeigt wird (vgl. Rn. 113, 122) auch die Basis fr die Prfung des Risikofrherkennungssystems. Auf der anderen Seite sind die Ergebnisse der Prfung des Risikofrherkennungssystems z.B. bei der Beurteilung der Fortfhrung der Unternehmensttigkeit (IDW PS 270) und des internen Kontrollsystems (IDW PS 261) zu bercksichtigen. Bei der Prfung des Risikofrherkennungssystems handelt es sich um eine Systemprfung und nicht um eine Geschftsfhrungsprfung51. Seitens des APr. kann lediglich eine Beurteilung ber die Fhigkeit zur Aufdeckung wesentlicher Risiken erfolgen bzw. gefordert werden52. Gem IDW PS 340 sind die die Reaktionen des Vorstands auf die erfassten Risiken nicht Gegenstand der Manahmen i.S.d. 91 Abs. 2 AktG. Sie sind damit auch nicht Gegenstand der Prfung nach 317 Abs. 4 HGB. Ebenso gehrt die Beurteilung, ob die eingeleiteten oder durchgefhrten Handlungen zur Risikobewltigung bzw. der Verzicht auf diese Bewtigungsmanahmen sachgerecht oder wirtschaftlich sinnvoll sind, nicht zur Prfung des Risikofrherkennungssystems53. Nicht zur Prfungs- und Berichterstattungspflicht des APr. gehrt somit eine Analyse bzw. Stellungnahme zu dem Fragenkomplex, ob die Unternehmensleitung Risiken effizient und effektiv entgegengetreten ist54. Bei der Prfung des Risikofrherkennungssystems nach 317 Abs. 4 HGB hat der APr. vielmehr festzustellen, ob das System die Risikoidentifikation, die Risikoanalyse/-bewertung, die Risikokommunikation und die zugehrige berwachung unternehmensweit und permanent fr alle relevanten Risiken sicherstellt. Auf mglichen Verbesserungsbedarf hat er hinzuweisen ( 321 Abs. 4 S. 2 HGB). Die Abgabe konkreter Verbesserungsvorschlge hinsichtlich des Risikofrherkennungssystems ist jedoch nicht Gegenstand der Abschlussprfung55. Da es sich um eine Systemprfung handelt, kann der APr. sich nicht darauf beschrnken, die vom Unternehmen ggf. identifizierten wesentlichen oder bestandsgefhrdenden Risiken zu analysieren. Dies hat zur Folge, dass der APr. selbst dann, wenn ein Unternehmen zum Prfungszeitpunkt ber keine wesentlichen oder bestandsgefhrdenden Risiken verfgt, beurteilen muss, ob das eingerichtete Risikofrherkennungssystem grds. geeignet ist, den Anforderungen gerecht zu werden.
49 6

35

36

37

38

39

Vgl. hierzu den berblick bei ADS , 317 HGB, Rn. 150-160. Vgl. auch Drner, DB 2000, S. 104; Pollanz, DB 1999, S. 393. 50 Vgl. hierzu im Einzelnen ADS6, 317 HGB, Rn. 155. 51 Vgl. IDW PS 340, Tz. 19. Zur Prfung der Ordnungsmigkeit der Geschftsfhrung vgl. Q Rn. 772. 52 Bcking/Orth, WPg 1998, S. 360. 53 Vgl. IDW PS 340, Tz. 6. 54 So auch z.B. Drner, DB 1998, S. 2. A.A. Giese, WPg 1998, S. 456. 55 Vgl. Rn. 147.

40

Wie bereits erwhnt, fllt die Verantwortung fr die Einrichtung eines konzernweiten Risikofrherkennungssystems in den Verantwortungsrahmen des Vorstands des MU56. Daher muss dieses konzernweite Risikofrherkennungssystem auch als Prfungsobjekt in die Prfung des JA des MU miteinbezogen werden. Eine gesonderte Prfungspflicht im Rahmen der Prfung des KA besteht nicht57. Die Feststellungen der APr nachgelagerter Unternehmen im Konzernverbund knnen, sofern von einer hinreichenden fachlicher Kompetenz und beruflichen Qualifikation auszugehen ist, aufgrund einer nach 317 Abs. 4 HGB oder einer vertraglichen Erweiterung des Prfungsauftrags durchgefhrten Prfung des Risikofrherkennungssystems durch den APr. der Konzernmutter verwertet werden58. Ferner besteht auch die Mglichkeit zur Zusammenarbeit der APr. mit der Internen Revision/Konzernrevision und somit zur Nutzung gegenseitiger Synergiepotentiale, sofern die Interne Revision gewissen Qualittsanforderungen entspricht59. Im Rahmen der Prfung nach 317 Abs. 4 HGB ist diesbezglich jedoch zustzlich zu beachten, dass die Interne Revision Bestandteil des Risikofrherkennungssystems und als solcher Gegenstand der Prfung durch den APr. ist60. Dies gilt entsprechend, sofern die berwachung des Risikofrherkennungssystems durch einen externen Prfer oder einem sachverstndigen Dritten vorgenommen wurde61. Die Prfung des Risikofrherkennungssystems ist eine jhrlich wiederkehrende Aufgabe der APr. Grds. ist in jedem Jahr das Gesamtsystem zu prfen. Allerdings ist nicht ausgeschlossen, dass der APr. auf Kenntnisse und Erfahrungen zurckgreift, die er bereits in der Vergangenheit mit dem zu prfenden Unternehmen erworben hat62. Im Rahmen einer Mehrjahresplanung der Prfung des Risikofrherkennungssystems knnen hnlich wie bei der Prfung des IKS von Jahr zu Jahr ggf. unterschiedliche Prfungsschwerpunkte in Abhngigkeit von der jeweils aktuellen Risikolage gesetzt werden. Insbesondere Systemvernderungen und wesentliche neue Geschftsprozesse bzw. Geschftsfelder mssen jedoch stets umfassend analysiert werden.

41

42

43

4. Prfungsziele
44 Das bergeordnete Ziel der Prfung des Risikofrherkennungssystems und der anschlieenden Berichterstattung ber das Ergebnis dieser Prfung im Prfungsbericht besteht insbesondere darin, dem AR verbesserte Kontrollmglichkeiten zu geben, indem ihm zustzliche Informationen im Hinblick auf die Risikolage und das Risikofrherkennungssystem des Unternehmens zur Verfgung gestellt werden63. Um dieser Aufgabe gerecht zu werden, bestehen die grds. (Unter-)Ziele der Prfung des Risikofrherkennungssystems darin, festzustellen, ob ein Risikofrherkennungssystem eingerichtet wurde (Vorhandensein), ob es geeignet ist (Eignung) und ob es funktionsfhig ist (Wirksamkeit)64. Die zur Erreichung dieser Prfungsziele erforderlichen Prfungshandlungen werden nachfolgend im
Vgl. Rn. 20. Vgl. ADS6, 317 HGB, Rn. 228. 58 Vgl. IDW PS 340, Tz. 37. 59 Vgl. Brebeck (2000a), S. 380-382; Soll/Labes (1999), S. 200; R Rn. 762; Vgl. IDW PS 321, Tz. 10. 60 Vgl. Amling/Bischof, ZIR 1999, S. 46/51; Pollanz, DB 1999, S. 399. Zur Rolle der Internen Revision im Rahmen des Risikofrherkennungssystems vgl. Rn. 66. 61 Vgl. IDW PS 320, Tz. 26 und IDW PS 322, Tz. 8. 62 Vgl. IDW PS 240, Tz. 13. 63 Vgl. BT-Drs. 13/9712, S. 11/27/29; Bcking/Orth, BFuP 1999, S. 419; Hommelhoff, BB 1998, S. 2625. 64 Vgl. BT-Drs. 13/9712, S. 27; ADS6, 317 HGB, Rn. 229.; Brebeck/Herrmann, WPg 1998, S. 389; IDW PS 340, Tz. 24-31.
57 56

45

Einzelnen dargestellt und knnen in die Prfungsphasen Bestandsaufnahme65, Beurteilung der Eignung66 und Prfung der Wirksamkeit67 unterteilt werden. Diesen Prfungsphasen vorgelagert ist die Phase der Prfungsplanung.

5. Prfungsplanung
46 Die Planung der Prfung des Risikofrherkennungssystems in sachlicher, personeller und zeitlicher Hinsicht ist Bestandteil der allgemeinen Prfungsplanung und dient der zielgerechten, zeitgerechten und wirtschaftlichen Durchfhrung der Prfung68. In der Planungsphase nimmt die Informationsbeschaffung69 eine ganz herausragende Stellung ein. Im Hinblick auf die Prfung des Risikofrherkennungssystems sind insbesondere Informationen ber folgende Themen von Bedeutung: Vorgaben der Unternehmensleitung zur Risikofrherkennung, Unternehmensvision/strategie, Geschftsttigkeit des Unternehmens, Branchentrends, branchentypische Risiken, wesentliche Entwicklungen der jngeren Vergangenheit, strategische und operative Planung des Unternehmens, Instrumentarium zur Unternehmenssteuerung, Ttigkeit des Controllings und der Internen Revision etc.70. Als Methoden der Informationsbeschaffung kommen u.a. Gesprche mit der Geschftsleitung und dem weiteren Top-Management, Analysen finanzwirtschaftlicher Informationen, Betriebsbesichtigungen, Einsichtnahme in interne71 und externe72 Unterlagen in Betracht73. Hiermit verschafft sich der APr. ein umfassendes Bild des Unternehmens und dessen Umfeldes. Dies dient u.a. der vorlufigen Einschtzung der Risikolage des Unternehmens. Zugleich muss der APr. sich in der Planungsphase bereits einen groben berblick ber das vom Unternehmen installierte Risikofrherkennungssystem verschaffen. Hierbei ist wichtig, dass der APr. auch die Grundeinstellung der Geschftsleitung und der Mitarbeiter (Risikoneigung und -bewusstsein), die Integration in die strategische sowie operative Planung und die berwachungsstruktur des Risikofrherkennungssystems bercksichtigt. Dazu hat er sich auch ber bereits durchgefhrte Prfungen durch externe Prfer, Sachverstndige oder die Interne Revision zu informieren. Die Ergebnisse stellen Prfungsnachweise im Sinne des 320 HGB dar und sind dem APr. fr eine mgliche Verwertung zur Verfgung zu stellen. Die Integration des Systems der Risikofrherkennung in die Planung ist unter anderem ein Indikator dafr, welche Stellung das System im Gesamtkontext der Unternehmenssteuerung hat. Die Risikoneigung und das Risikobewusstsein geben Anhaltspunkte im Hinblick auf die Risikodarstellung und Bewertung.

47

Fr den Anwendungsfall der konzernweiten Risikomanagementprfung erweitern sich die Informationsbedrfnisse des Abschlussprfers fr die Prfungsplanung hinsichtlich der
Vgl. Rn. 122. Vgl. Rn. 127. 67 Vgl. Rn. 140. 68 Vgl. hierzu ausfhrlich IDW PS 240 ; R Rn. 40. 69 Vgl. hierzu umfassend IDW PS 230. 70 Vgl. IDW PS 230, Tz. 7 i.V.m. dem Anhang Relevante Aspekte im Zusammenhang mit den Kenntnissen ber die Geschftsttigkeit sowie das wirtschaftliche und rechtliche Umfeld des Unternehmens . 71 Entsprechende interne Unterlagen sind z.B. Protokolle von Vorstandssitzungen/Aufsichtsratssitzungen/Risikomanagementausschusssitzungen, Organigramme, Planungsrechnungen, Zwischenberichte. 72 Entsprechende externe Unterlagen sind z.B. Branchenberichte, Statistiken, Berichte von Banken oder von Informationsdiensten. 73 Vgl. IDW PS 230, Tz. 14.
66 65

einzubeziehenden Beobachtungs- bzw. Berichtseinheiten als Ausprgungsform der konzernweiten Aufbauorganisation des Risikomanagements. Analog der Ausgestaltung der konzernweiten Risikomanagement-Aufbauorganisation sind alle nachgelagerten Gesellschaften einzubeziehen, sofern von diesen bestandsgefhrdende Entwicklungen fr das Mutterunternehmen ausgehen knnen. Die Prfung der konzernweiten Umsetzung der Manahmen nach 91 Abs. 2 AktG fhrt in der Konsequenz zur Erfordernis dezentraler Prfungshandlungen auf der Ebene nachgelagerter Gesellschaften, um die ordnungsgeme, risikoorientierte Einbindung in das konzernweite System beurteilen zu knnen. Zu bercksichtigen ist hierbei, dass sich die Ausgestaltung der konzernweiten Aufbauorganisation zum Risikomanagement nicht zwangslufig an rechtseinheitlichen Strukturen orientieren muss. Zulssig und in der Praxis oftmals gngig ist aus Sicht des Mutterunternehmens auch eine Festlegung von Berichtseinheiten nach wirtschaftlichen Gesichtspunkten. Diese knnen dann ggf. mehrere rechtliche Einheiten (berlappend) umschlieen bzw. sich auch nur aus Teilen eines nachgelagerten Unternehmens zusammensetzen. Diese Ausgestaltungsoption der Aufbauorganisation im Konzern fllt dem Ermessen des Vorstandes des Mutterunternehmens im Zuge seiner konzernweiten Leitungsverpflichtung aus 76 Abs. 1, 91 Abs. 2 AktG anheim. Der Prfer hat diesen Ermessensspielraum zu bercksichtigen. 48 In der Konsequenz erfolgt in diesen Fllen die Planung der dezentral im Konzernverbund vorzunehmenden Prfungshandlungen i.d.R. sachgerecht abweichend von rechtseinheitlichen Ausprgungen. Die personelle Prfungsplanung erfordert ebenfalls eine Bercksichtigung der Besonderheiten im Konzern. Der i.d.R. vorherrschenden hohen Internationalisierung groer Konzerne ist Rechnung zu tragen. Es sind abgestimmte, lnderbergreifende Prfungshandlungen durchzufhren. In der Konsequenz wird i.d.R. ein im Vergleich zu Risikomanagementprfungen im rechtseinheitlichen Bereich national ausgerichteter Unternehmungen hoher Personaleinsatz erforderlich sein. Dieser erfolgt idealtypisch unter Einbezug von Spezialisten, die mit den Landesund Unternehmensspezifika vor Ort vertraut sind. Gleichfalls sind an die Prfungsleitung erhhte fachliche Anforderungen zu stellen, da im Bereich groer internationaler Konzerne oftmals ein Konglomerat an Gesellschaften unterschiedlicher Branchen im Bezugsfeld unterschiedlicher Lndergegebenheiten, unterschiedlicher Mrkte und Wettbewerbsstrukturen unter Risikogesichtspunkten beurteilt werden muss und hierbei auch Interdependenzen zu bercksichtigen sind.

49

Die Entwicklung der Prfungsstrategie und hierauf aufbauend die Erstellung eines Prfungsprogramms fr die Prfung des Risikofrherkennungssystems ist u.a. abhngig von der beim Unternehmen anzutreffenden Konzeption des eingerichteten Risikofrherkennungssystems als Separationskonzept, als Integrationskonzept oder als Mischform. Beim Separationskonzept (vgl. Rn. 25) ist neben den allgemeinen Geschftsprozessen und Prozessen zur Unternehmenssteuerung parallel ein eigenstndiges System zur systematischen Erfassung, Analyse, Berichterstattung und berwachung von wesentlichen Risiken eingerichtet. Hierdurch kann die Bestandsaufnahme (vgl. Rn. 127) und die Beurteilung der Eignung des Risikofrherkennungssystems (vgl. Rn. 132) relativ einfach durch den APr. vorgenommen werden, die Beurteilung der Wirksamkeit erfordert i.d.R. aber auch Stichproben in den Geschfts- und Steuerungsprozessen.

50

51

Beim Integrationskonzept (vgl. Rn. 26) ist die Risikofrherkennung ein integraler Bestandteil des Steuerungsinstrumentariums. Aufgrund der beschriebenen Einbindung existiert hufig auch keine zustzliche, in sich geschlossene Dokumentation des Risikofrherkennungssystems. Beides hat zur Folge, dass im Vergleich zum Separationskonzept (vgl. Rn. 116) die Bestandsaufnahme fr

mehrere Steuerungsinstrumente erforderlich ist und die Beurteilung der Eignung des Risikofrherkennungssystems tendenziell erschwert wird. 52 In der Praxis sind hufig Teilaspekte beider Konzepte verwirklicht (Mischkonzept) (vgl. Rn. 27). Demzufolge besteht in diesen Fllen hufig keine einheitliche Dokumentation des gesamten Prozesses der Risikofrherkennung. Aufgrund dieser Uneinheitlichkeit des Gesamtprozesses der Risikofrherkennung kann die Prfung des Risikofrherkennungssystems zustzlich erschwert werden. Aufgrund verschiedener Unternehmenskrisen in der jngsten Vergangenheit sowie der expliziten Anforderung zur berwachung der Wirksamkeit des internen Kontrollsystems und des Risikomanagements durch den Prfungsausschuss ist das interne Kontrollsystem der Unternehmen (einschlielich des Risikofrherkennungssystems, welches integraler Bestandteil ist) verstrkt in den Mittelpunkt der Nachweisfhrung einer ordnungsgemen Unternehmensfhrung durch die Unternehmensleitung gerckt74. Fr die APr. fhrte dies in der Vergangenheit zur Umsetzung des risiko-, prozess- und systemorientierten Prfungsansatzes und einer risiko- bzw. problemorientierten Berichterstattung75. Im Rahmen der risikoorientierten Prfung und der Prfung des internen Kontrollsystems kommt der Verfahrensdokumentation der Unternehmen eine magebliche Rolle zu. Dies ist v.a. bei dem Integrationskonzept des Risikofrherkennungssystems entscheidend, da es hier in die sonstigen Planungs-, Steuerungs- und Kontrollsysteme der Unternehmen integriert ist. Nur bei einer entsprechenden Dokumentation der einzelnen Systeme und deren Risikofrherkennungskomponenten ist eine grundlegende Beurteilung durch den APr. mglich. Generell fhrt eine fehlende oder unvollstndige Dokumentation der Manahmen zur Risikofrherkennung zu Zweifeln an der dauerhaften Funktionsfhigkeit76 der Manahmen. Bei einem Integrationskonzept oder Mischformen hat der Prfer zustzlich darauf zu achten, dass diese die notwendige Transparenz der Risikosituation fr den Vorstand ermglichen. Notwendige Basis dafr ist eine Dokumentation des Unternehmens, welche Risiken in welchen Teilsystemen behandelt und berichtet werden. Weiterhin ist ein gesondertes Risikoinventar vorzulegen. Ansonsten gelten fr die Prfung der Teile, die dem Separationskonzept folgen und der Teile, die dem Integrationskonzept folgen, grds. die oben jeweils gemachten Ausfhrungen entsprechend. 53 Zeitlich sollte die Prfung des Systems der Risikofrherkennung nach Mglichkeit schwerpunktmig whrend einer Vor- oder Zwischenprfung durchgefhrt werden. Dies gilt insbesondere vor dem Hintergrund, dass die Prfung des Risikofrherkennungssystems insbesondere bei Verfolgung des geschftsrisikoorientierten Prfungsansatzes77 wesentliche Informationen fr die weitere Durchfhrung der Prfung des JA und LB liefert (vgl. Rn. 2)78. Da jedoch zustzlich sichergestellt sein muss, dass das Risikofrherkennungssystem whrend des gesamten GJ kontinuierlich angewandt wurde, sind weitere Prfungshandlungen im Rahmen der Hauptprfung vorzunehmen, um auch den Zeitraum zwischen der Vor- oder Zwischenprfung und dem Abschlussstichtag zu erfassen. Die Schwerpunkte dieser Prfungshandlungen sind dann insbesondere auf die Analyse der ggf. zwischenzeitlich erfolgten Systemvernderungen und die vollstndige und korrekte Erfassung der relevanten Risiken zum Abschlussstichtag zu legen.
Dies betrifft z.B. SEC gelistete Unternehmen durch den Sarbanes-Oxley Act of 2002, bei dem die Unternehmensleitung unter anderem den Nachweis eines funktionierenden internen Kontrollsystems zu fhren hat. 75 Vgl. auf nationaler Ebene z.B. IDW PS 200 i.V.m. IDW PS 210, 230, 240, 261, 450, 470 und 140 sowie international ISA 240, 260, 300, 310 und 400. 76 Vgl. IDW PS 340, Tz. 18. 77 Vgl. Rn. 102. 78 So auch Pollanz, BB 1997, S. 1352.
74

6. Prfungsdurchfhrung
54 Wie im Rahmen der Errterung der Prfungsziele bereits erwhnt wurde, gliedert sich die Durchfhrung der Prfung des Risikofrherkennungssystems in drei Phasen. Die erste Prfungsphase besteht in einer Bestandsaufnahme. Diese Phase baut auf der Planungsphase auf und ist inhaltlich eng mit ihr verbunden. Hieran schliet sich die Prfungsphase der Beurteilung der Eignung des Risikofrherkennungssystems an. Abgeschlossen wird die Prfung des Risikofrherkennungssystems mit der Phase der Prfung der Wirksamkeit. Die in den jeweiligen Prfungsphasen getroffenen Feststellungen zum Vorhandensein, zur Eignung und zur Wirksamkeit des Risikofrherkennungssystems sind vom APr. in seinen Arbeitspapieren zu dokumentieren und zusammenfassend abschlieend zu wrdigen. a) 56 Bestandsaufnahme In der Prfungsphase der Bestandsaufnahme muss der APr. den in der Planungsphase bereits gewonnenen ersten Eindruck ber das vom Unternehmen eingerichtete Risikofrherkennungssystem weiter vertiefen und verifizieren oder ggf. anpassen. Hierzu hat er sich Detailinformationen ber das Risikofrherkennungssystem zu verschaffen, wie z.B. Informationen ber: die Unternehmensziele, die Risikopolitik des Unternehmens79, die Ausprgung des Risikobewusstseins der Mitarbeiter in den verschiedenen Unternehmensbereichen und auf den verschiedenen Hierarchieebenen des Unternehmens80, die im Unternehmen verfolgte organisatorische Konzeption zur Risikofrherkennung und die daraus resultierende Aufbauorganisation des Risikofrherkennungssystems des Unternehmens81 sowie, die Ablauforganisation des Risikofrherkennungssystems82. Insb. die organisatorischen Regelungen mssen aus der vom Unternehmen erstellten Dokumentation des Risikofrherkennungssystems hervorgehen. Besondere Anforderungen an die Dokumentation sind beim Integrationskonzept und bei Mischformen zu stellen. Auf der Grundlage dieser Informationen beurteilt der APr. dann, ob ein Risikofrherkennungssystem im Sinne des 91 Abs. 2 AktG berhaupt vorhanden ist und ob es sich wie erforderlich auf alle Unternehmensbereiche und Unternehmensebenen sowie im Konzern auf alle Konzernunternehmen erstreckt83. Aufgrund der in der jngsten Vergangenheit hufig anzutreffenden Verzahnung des Risikofrherkennungssystems mit der Unternehmenssteuerung und der Unternehmensplanung ergeben sich hieraus auch entsprechende Hinweise fr den APr. im Rahmen des risikoorientierten Prfungsansatzes.
Zur Risikopolitik eines Unternehmens zhlen die Risikoneigung der Geschftsleitung und die Grundeinstellung der Geschftsfhrung zum Prozess der Risikofrherkennung. 80 Das Risikobewusstsein der Mitarbeiter uert sich z.B. darin, ob sie sich in ihrem jeweiligen Aufgabengebiet fr Fragestellungen und Aufgaben der Risikofrherkennung verantwortlich fhlen und sich dementsprechend verhalten. 81 In der Aufbauorganisation des Risikofrherkennungssystems spiegeln sich die Zustndigkeiten und Verantwortlichkeiten im Prozess der Risikofrherkennung wider. Ggf. wurden speziell fr die Aufgaben des Risikofrherkennungssystems zustzlich gesonderte Organisationseinheiten geschaffen, wie z.B. ein Risikoausschuss oder Risk Manager. 82 In der Ablauforganisation des Risikofrherkennungssystems spiegelt sich wider, wie die einzelnen Aufgaben im Rahmen des Risikofrherkennungssystems, also die Risikoidentifikation, die Risikoanalyse/-bewertung, die Risikokommunikation und die berwachung wahrgenommen werden. 83 Zur Erlangung der notwendigen Konzernsicht kann der APr. des MU die Prfungsergebnisse der APr. der TU hinzuziehen. Vgl. Rn. 108.
79

55

57

Eine wichtige Voraussetzung fr die sachgerechte konzernweite Durchfhrung des Risikofrherkennungsprozesses ist ein angemessenes Risikobewusstsein der Prozessbeteiligten. Insbesondere in einem multinational ausgerichteten Konzern ist davon auszugehen, dass unterschiedliche Ausprgungen dieses Bewusstseins in den jeweils eingebundenen Gesellschaften vorliegen werden. Dies kann zum einen auf kulturelle Spezifika des jeweiligen Heimatlandes, auf unternehmenskulturelle Aspekte oder aber auch auf die Historie der jeweiligen Gesellschaft innerhalb des Konzernverbundes zurckzufhren sein. Bei seiner Bestandsaufnahme im Rahmen konzernierter Strukturen sollte der Abschlussprfer daher Anhaltspunkte fr mgliche divergierende Ausprgungen generieren und diese Informationen ggf. in seine Prfungsplanung mit einflieen lassen. Dies kann z.B. ber Befragungen der mit der prozessabhngigen Kontrolle betrauten Verantwortungstrger auf Ebene der Muttergesellschaft erfolgen. Des Weiteren steht es dem Abschlussprfer bei seiner Prfung des konzernweiten Risikomanagements auch anheim, im Vorfeld der Prfungsdurchfhrung ber eine gezielte Abfrage bei den jeweiligen Abschlussprfern der Tochter- und Enkelgesellschaften oder Beteiligungen Informationen zur Ausgestaltung des Risikomanagements vor Ort zu generieren, die u.a. auch Einschtzungen zum Risikobewusstsein der Prozessbeteiligten beinhalten. Fehlt eine angemessene Dokumentation, so hat der APr. auf deren Erstellung durch das Unternehmen hinzuwirken. Eine fehlende Dokumentation allein berechtigt jedoch nicht zu der Feststellung, dass ein Risikofrherkennungssystem nicht vom Unternehmen eingerichtet worden ist. Wenn keine oder eine fehlerhafte Gesamtdokumentation des Systems vorliegt, muss das Vorhandensein eines Risikofrherkennungssystems auf andere Weise hinreichend vom Unternehmen belegt werden84. Eine fehlende Systemdokumentation verursacht zustzlich zu den negativen Auswirkungen im Unternehmen selbst85 einen erheblichen Mehraufwand bei der Prfung des Risikofrherkennungssystems, da der APr. dann eine eigene Bestandsaufnahme der vorhandenen Teilsysteme durchzufhren und zu seinen Arbeitsunterlagen zu nehmen hat86. Dies gilt nicht nur fr die Erstprfung, sondern auch fr die Prfungen in den Folgejahren, bei denen insbesondere festzustellen ist, ob vom Unternehmen Vernderungen am Prozess der Risikofrherkennung vorgenommen wurden. Die Prfungsphase der Bestandsaufnahme kann sich grds. nicht auf eine Dokumentenanalyse beschrnken. Vielmehr muss der APr. in der Regel zustzlich Befragungen der Geschftsleitung und weiterer Mitarbeiter des Unternehmens durchfhren. Dies gilt insb. fr die Gewinnung von Informationen ber die Unternehmensziele, die Risikopolitik und das Risikobewusstsein. b) Beurteilung der Eignung Aufbauend auf der Bestandsaufnahme des Risikofrherkennungssystems hat der APr. in der nchsten Prfungsphase zu beurteilen, ob die vom Unternehmen getroffenen Manahmen zur Risikofrherkennung geeignet sind, die gesetzlichen Anforderungen zu erfllen. Im Einzelnen hat der APr. zu analysieren, ob durch das eingerichtete Risikofrherkennungssystem unternehmensbzw. konzernweit sichergestellt ist, dass die bestandsgefhrdenden und sonstigen wesentlichen Risiken vollstndig identifiziert werden,

58

59

60

So auch ADS6, 317 HGB, Rn. 230. BeBiKo5, 317, Rn. 87 und Ludewig, WPg 1998, S. 599 bezweifeln, dass eine Prfung des Risikofrherkennungssystems ohne entsprechende Dokumentation berhaupt mglich ist. Giese, WPg 1998, S. 453 bezweifelt, dass ein nur durch Befragung feststellbares Risikofrherkennungssystem den Anforderungen des 91 Abs. 2 AktG gengt. 85 Zu den Notwendigkeiten der Erstellung einer Systemdokumentation vgl. Rn. 31. 86 5 Vgl. IDW PS 340, Tz. 25. Ablehnend zur Systemaufnahme durch den APr. BeBiKo , 317, Rn. 89.

84

61 62

dass die vom Unternehmen vorgenommene Bewertung der identifizierten Risiken intersubjektiv nachvollziehbar ist, dass die relevanten Risikoinformationen zeitgerecht (frhzeitig) an die jeweiligen Entscheidungstrger kommuniziert werden und dass durch das Unternehmen eine angemessene berwachung des Risikofrherkennungsprozesses stattfindet. Die fr diese Beurteilung erforderlichen Prfungshandlungen werden nachfolgend nher errtert: Zur Beurteilung der Vollstndigkeit der Risikoidentifikation muss der APr. unter Bercksichtigung seiner im Laufe der Prfung des JA gewonnenen sonstigen Kenntnisse der Risikosituation des Unternehmens untersuchen, ob alle relevanten Risikobereiche Bercksichtigung fanden, d.h. sowohl Risiken aus den internen Bereichen (z.B. Unternehmensstrategie, Forschung & Entwicklung, Prozesse, IT, Beschaffung, Produktion, Absatz) als auch aus den externen Bereichen (z.B. wirtschaftliches, technologisches, politisches, kologisches oder soziales Umfeld des Unternehmens). Diesbezglich ist von besonderer Bedeutung, dass der APr. ber umfassende Kenntnisse ber das Unternehmen und sein Umfeld sowie die Branche des Unternehmens verfgt87. Neben dem vollstndigen Einbezug der Unternehmensbereiche hat der APr. die im Laufe des Jahres gemeldeten Risiken zu analysieren. Hierbei spielen die Aspekte Zeitnhe (Kenntnis und Aufnahme in die regelmige Berichterstattung), Vollstndigkeit (im Abgleich mit den Kenntnissen des APr. ber das Unternehmen, die Branche bzw. das Umfeld sowie ber Prfungsergebnisse im Rahmen der brigen Prfungsgebiete) und Plausibilitt der Bewertung (siehe Rn. 132) eine entscheidende Rolle. Ein weiterer wichtiger Aspekt ist die Prfung der Integration des Risikofrherkennungssystems mit der Unternehmensplanung. Hier ist zu untersuchen inwieweit sich der Vorgang der Risikoidentifikation an den Unternehmenszielen orientiert. Eine Verknpfung mit den Unternehmenszielen und der Planung ermglicht eine systematische Ableitung der Risiken und deren Bewertung. Nur bei hinreichender Kenntnis der Ziele knnen die Mitarbeiter die Risikosituation inhaltlich und der Hhe nach systematisch einschtzen.

63

Ferner hat der APr. zu analysieren, ob geeignete Frhwarnindikatoren fr die identifizierten Risikobereiche existieren und ob diese permanent im Sinne eines Soll-/Ist-Vergleichs durch das Unternehmen verfolgt werden. Denn neben einem ausgeprgten Risikobewusstsein der Mitarbeiter sind die Existenz und der fortwhrende Einsatz von geeigneten Frhwarnindikatoren entscheidend fr die Vollstndigkeit der Risikoidentifikation, die Risikobewertung und die hieran anschlieende zeitgerechte Risikokommunikation88. Hinsichtlich der Verwendung von Risikoindikatoren muss der APr. bei der Anwendung des Integrationskonzepts oder von Mischformen durch das Unternehmen auch Berichtswege auerhalb des formalen Risikoreporting in seine Betrachtung mit einbeziehen. Ein wichtiger Aspekt ist dabei, ob die Frhwarnindikatoren auch fr die jeweilige Risikobeurteilung genutzt werden. Dazu ist es notwendig, dass die fr die Risikoidentifikation und Bewertung zustndige Stelle auch ber die notwendigen Informationen ber den Frhwarnindikator verfgt. Allerdings ist zu konstatieren, dass die Vollstndigkeit der Risikoidentifikation aufgrund der unvollkommenen Voraussicht ex ante niemals mit hundertprozentiger Sicherheit beurteilt werden kann89. Dies gilt selbst bei Vorliegen eines hervorragend ausgestalteten Systems von Frhwarnindikatoren, das sowohl sog. hard facts als auch sog. soft facts oder schwache Signale bercksichtigt.
87

64

BeBiKo , 317, Rn. 87/91 bezweifelt, dass der APr. in der Lage sein wird, die Vollstndigkeit der vom Unternehmen ermittelten Risiken zu beurteilen. 88 Vgl. zur Ausgestaltung der Risikoidentifikation Rn. 40. 89 So auch Giese, WPg 1998, S. 455.

65

Die vom Unternehmen vorgenommene Risikobewertung muss durch den APr. nachvollzogen und einer Prfung auf Plausibilitt und Widerspruchsfreiheit unterzogen werden90. Zu diesem Zweck mssen dem APr. vom Unternehmen die der Bewertung zu Grunde gelegten Prmissen und die hierauf basierenden Planungsrechnungen, Sensitivittsanalysen, Szenariorechnungen91 o.. offengelegt werden. Es ist zu prfen, ob das jeweils verwendete Prognosemodell sachgerecht und richtig gehandhabt worden ist, ob alle verfgbaren relevanten Informationen verwendet wurden und Interdependenzen Rechnung getragen wurde92. Hierbei muss der APr. sich der Tatsache bewusst sein, dass trotz aller ggf. eingesetzten Hilfsmittel die Bewertung der Risiken stark durch das subjektive Urteil des Bewerters bestimmt wird. Deshalb muss er sich davon berzeugen, dass die Bewertung vom Unternehmen nach pflichtgemem Ermessen, willkrfrei und im Zeitablauf konsistent vorgenommen wurde. Dazu ist es notwendig, dass die Kernprmissen zur Risikobewertung durch das Unternehmen dokumentiert werden. Dies ist gerade bei mglichen Szenariobetrachtungen wichtig. Weiterhin ist darauf zu achten, dass unternehmens- bzw. konzernweit einheitliche Bewertungsverfahren zum Einsatz kamen und dass je nach Bedeutung der jeweiligen Risiken die unternehmensindividuell festgelegten Wesentlichkeitsgrenzen eingehalten wurden. Es ist jedoch nicht die Aufgabe des APr., die Schtzung der Unternehmensleitung durch seine eigene subjektive (nicht begrndbare) Schtzung zu ersetzen 93. Ein bedeutsames Beurteilungsfeld im Kontext der Risikobewertung bildet die Risikoaggregation im Konzern als spezielle Ausprgung der gesamtheitlichen Risikobewertung. Hinsichtlich der Magabe nach einer sachgerechten Abbildung der Gesamtrisikosituation im Konzern ist es aus Prfersicht wichtig zu analysieren, ob konzernweit Ablufe etabliert sind, die die Aggregation gleichartiger Risiken innerhalb des gesamten Konzernverbundes einschlielich der Bercksichtigung von Interdependenzen sicherstellt. Eine Risikobewertung in fest definierten Wertklassen bzw. eine konkrete absolute Einschtzung ist im Bereich eines konzernweiten Risikomanagements vor diesem Hintergrund unverzichtbar, da ansonsten eine Aggregation der Einzelrisiken im Verbund nicht sachgerecht mglich ist. Eine rein qualitative Bewertung ohne Hinterlegung von konkreten Schadensgren ist hingegen aus Prfersicht nicht ausreichend, da in der Konsequenz auf vorgelagerten Konzernstufen eine Zusammenfassung solcher Risiken erfolgen knnte, die sich hinsichtlich ihrer Auswirkungen ggf. erheblich unterscheiden. Wurde vom Unternehmen nicht durchgngig eine Quantifizierung der Risiken vorgenommen, muss sich der APr. durch zustzliche Prfungshandlungen Gewissheit darber verschaffen, dass wesentliche Risiken eine adquate Behandlung erfahren94. Zur Beurteilung der Eignung der Risikokommunikation hat der APr. zu untersuchen, ob die entsprechenden aufbau- und ablauforganisatorischen Vorkehrungen im Unternehmen so getroffen wurden, dass alle relevanten Risiken vollstndig und so frhzeitig an die jeweils zustndigen Entscheidungstrger kommuniziert werden, dass diese in die Lage versetzt werden, noch wirksame Manahmen zur Risikobewltigung einzuleiten. Zu diesem Zweck sind die Kommunikationswege und prozesse im blichen Geschftsreporting sowie im separaten Risikoreporting zu analysieren. Hierbei ist insbesondere zu beurteilen, ob geeignete Eskalationskriterien fr die Risikokommunikation festgelegt sind, die Berichtsperiodizitten der Bedeutung des jeweiligen Risikos angemessen sind und ob geeignete Regelungen hinsichtlich einer ggf. erforderlichen Ad-hoc-Berichterstattung

66

67

68

Vgl. zur Ausgestaltung der Risikobewertung Rn. 49. Zum Einsatz von Szenariotechniken vgl. Broetzmann, CM 2003, S. 541. 92 Zur Prognoseprfung vgl. z.B. Hagest/Kellinghusen, WPg 1977, S. 405. 93 Giese, WPg 1998, S. 456. 94 Zur Mglichkeit der Kennzeichnung eines Risikos als high priority risk vgl.
91

90

Rn. 59.

existieren95. Ein wesentlicher Aspekt ist auch hier die Nachvollziehbarkeit der Risikokommunikation. Gerade bei den Integrationskonzepten, bei denen die Risikoberichterstattung im Rahmen des Standardreportings des Unternehmens durchgefhrt wird, ist es wichtig, dass die inhaltliche Darstellung der Risiken entsprechend den allgemeinen Anforderungen durchgefhrt wird. Dies betrifft die Risikodarstellung sowie die Bewertung der Risiken. Die z.T. gelebte Praxis einer allgemeinen Beschreibung von Unternehmenssituationen, aus deren Gesamtkontext Risiken abgeleitet werden knnen, erfllt nicht die Anforderungen an eine ordnungsgeme Risikoberichterstattung. 69 Ferner wird die Eignung des Risikofrherkennungssystems dadurch bestimmt, dass die Anwendung der definierten Manahmen zur Risikofrherkennung fortwhrend sichergestellt ist. Da dies auf Unternehmensebene durch berwachungsaktivitten gewhrleistet werden soll, hat der APr. die entsprechenden Prozesse der berwachung zu analysieren96. In der Unternehmenspraxis werden die in diesem Zusammenhang besonders bedeutsamen prozessunabhngigen berwachungsaufgaben in der Regel zu einem groen Anteil von der Internen Revision ausgefhrt. Somit ist die Ttigkeit der Internen Revision hier Gegenstand der Prfung durch den APr. Im Rahmen der Prfung ist daher u.a. zu beurteilen, ob die personelle und qualitative Ausstattung der Internen Revision hinreichend ist und die ihr zugewiesenen Aufgaben im Prozess der Risikofrherkennung angemessen sind. Vor dieser Fragestellung ist das Prfprogramm der Internen Revision daraufhin zu analysieren, ob und inwieweit Aspekte des Risikofrherkennungssystems Bercksichtigung fanden. Schlielich sind ergnzend die integrierten Kontrollen und sonstigen Manahmen (Managementkontrollen) zur berwachung des Risikofrherkennungssystems vom APr. zu beurteilen, um ein Gesamtbild ber die berwachungsprozesse zu gewinnen und hierauf basierend zu einem Urteil ber deren Geeignetheit zu gelangen. In diesem Bereich empfiehlt es sich, im Vorfeld zur Abschlussprfung frhzeitig eine Abstimmung der Aktivitten zwischen APr. und Interner Revision durchzufhren (IDW PS 321, Tz. 18-21). Neben einer Beurteilung der einzelnen Manahmen zur Risikoidentifikation, Risikoanalyse/bewertung, Risikokommunikation und berwachung im Hinblick auf ihre Eignung hat der APr. zur Abrundung seiner Beurteilung des Gesamtsystems der Risikofrherkennung zu analysieren, ob auch die Verantwortlichkeiten fr die jeweils zu erfllenden Aufgaben zweckentsprechend definiert wurden und die Verantwortlichen sich ihrer Aufgaben auch in vollem Umfang bewusst sind. Abschlieend ist festzuhalten, dass das Urteil ber die Eignung der Manahmen zur Risikofrherkennung ebenso wie das Urteil ber das Vorhandensein eines Risikofrherkennungssystems entscheidend von einer geeigneten Systemdokumentation beeinflusst wird. Denn wenn eine Dokumentation vllig fehlt, so knnen zumindest Zweifel bestehen, ob das Risikofrherkennungssystem unternehmens- bzw. konzernweit einheitlich angewandt werden kann. Die Sicherstellung der unternehmens- bzw. konzernweit einheitlichen Anwendung stellt jedoch ein wesentliches Beurteilungskriterium hinsichtlich der Eignung eines Risikofrherkennungssystems dar. Auch in diesem Fall verursacht eine fehlende oder unzureichende Dokumentation vermehrt Einzelfallprfungen durch den APr. Der zur Erlangung der notwendigen Urteilssicherheit erforderliche Prfungsaufwand steigt somit auch in dieser Prfungsphase mit abnehmender Qualitt der Dokumentation erheblich an. Insbesondere Unternehmen, die in Bezug auf Risikofrherkennung das sog. Integrationskonzept verfolgen (vgl. hierzu Rn. 115, 117), verfgen hufig ber keine gesonderte, umfassende Dokumentation des Risikofrherkennungssystems. Allerdings existiert in diesen Fllen in der Regel eine wenn auch z.T. nur knappe Dokumentation des Instrumentariums zur

70

71

72

95 96

Vgl. zur Ausgestaltung der Risikokommunikation Rn. 60. Vgl. zur Ausgestaltung der berwachung Rn. 65.

Unternehmenssteuerung97, die vom APr. dahingehend zu analysieren ist, ob die Elemente des Risikofrherkennungssystems in hinreichender Weise Bercksichtigung finden. So ist z.B. zu untersuchen, ob und in welcher Weise Risiken im Prozess der strategischen und operativen Planung sowie im allgemeinen Reporting ihren Niederschlag finden. Die fehlende in sich geschlossene Dokumentation des Risikofrherkennungssystems hat somit zur Folge, dass der APr. zur Erlangung eines Urteils ber das Vorhandensein und die Eignung des Risikofrherkennungssystems das bestehende Steuerungsinstrumentarium des Unternehmens einer Analyse unterziehen muss. c) 73 Prfung der Wirksamkeit Zur Vervollstndigung der Prfung des Risikofrherkennungssystems hat sich an die Beurteilung der Eignung des Risikofrherkennungssystems die Prfung der Wirksamkeit des Risikofrherkennungssystems anzuschlieen. Die Prfung der Wirksamkeit des Risikofrherkennungssystems dient der Feststellung der tatschlichen Funktionsfhigkeit der eingerichteten Manahmen zur Risikofrherkennung sowie der Feststellung, ob diese Manahmen kontinuierlich und unternehmens- bzw. konzernweit angewendet werden. Zu diesem Zweck sind Einzelfallprfungen in Form von Stichprobentests durchzufhren. Im Rahmen dieser Tests ist fr ausgewhlte wesentliche Risiken zu berprfen, ob und wie die einzelnen Elemente des Risikofrherkennungsprozesses im konkreten Einzelfall ausgestaltet sind und im Unternehmen tatschlich gelebt werden. Die im Rahmen der Systemprfung bereits vorgenommene allgemeine Beurteilung der Eignung des Risikofrherkennungssystems wird also anhand von ausgewhlten Einzelfllen verifiziert. Es ist zu prfen, ob die vom Unternehmen vorgesehenen Regelungen und Ablufe hinsichtlich der Risikofrherkennung auch im konkreten Einzelfall befolgt wurden. Als Prfungshandlungen hierfr kommen z.B. Befragungen, Beobachtungen, Prfungen von erfolgten Vorgngen und die Durchsicht von Unterlagen zur Risikoidentifikation, -bewertung und -kommunikation sowie die Analyse von Prfungsberichten bzw. Arbeitspapieren der Internen Revision in Betracht98. Zustzlich kann die Funktionsfhigkeit des Risikofrherkennungssystems auch in der Form geprft werden, ob im Geschftsjahr in der Rechnungslegung bercksichtigte (z.B. ber Abwertungen oder Rckstellungen) oder eingetretene Risiken (z.B. auergewhnliche Aufwendungen oder Abschreibungen) auch zeitnah Gegenstand der Risikoberichterstattung waren. Ebenso wie fr die beiden vorangegangenen Prfungsphasen ist auch fr die Prfung der Wirksamkeit des Risikofrherkennungssystems das Vorliegen einer entsprechenden Dokumentation zum Nachweis der jeweiligen Einzelmanahmen von grundstzlicher Bedeutung. IDW PS 340 fhrt diesbezglich aus: Eine fehlende oder unvollstndige Dokumentation fhrt zu Zweifeln an der dauerhaften Funktionsfhigkeit der getroffenen Manahmen. 99 Insbesondere ist es in solchen Fllen zweifelhaft, ob die einzelnen Manahmen im Prozess der Risikofrherkennung unternehmens- bzw. konzernweit einheitlich und permanent durchgefhrt werden. Allerdings knnen durch eine noch so ausgeprgte Dokumentation Einzelfallprfungen durch den APr. nicht ersetzt werden. Der Umfang und die Intensitt der erforderlichen Einzelfallprfungen hngt insbesondere von der Anzahl der bestandsgefhrdenden oder sonstigen wesentlichen Risiken ab.

74

75

76

Hierzu knnen z.B. ein Planungs- und Controlling-Handbuch, eine Beschreibung der Aufbau- und Ablauforganisation, eine Darstellung der Grundzge des verfolgten Konzepts zur wertorientierten Unternehmensfhrung, Fhrungsgrundstze, Standardberichte, Organigramme, Stellenbeschreibungen, etc. gehren. 98 Vgl. IDW PS 340, Tz. 31. 99 IDW PS 340, Tz. 18.

97