Prof. Dr. rer. pol. Karsten Paetzmann
Rz. 106
Im Lagebericht sind in Umsetzung von Art. 46a Abs. 1 Buchst. c der Bilanzrichtlinie i. d. F. d. Abänderungsrichtlinie von sog. kapitalmarktorientierten KapG im Lagebericht in einem Risikomanagement-Bericht die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben.
Rz. 107
Abs. 4 gilt nur für kapitalmarktorientierte KapG und ihnen gleichgestellte PersG (§ 264a HGB). Nach der Legaldefinition des § 264d HGB sind dies Ges., die einen organisierten Markt i. S. d. § 2 Abs. 11 WpHG durch von ihnen ausgegebene Wertpapiere gem. § 2 Abs. 1 Satz 1 WpHG (Aktien oder vergleichbare Anlagewerte bzw. Zertifikate, die Aktien vertreten, Schuldtitel, etwa Inhaber- oder Orderschuldverschreibungen, Genuss- und Optionsscheine oder Zertifikate, die Schuldtitel vertreten) in Anspruch nehmen oder die Zulassung zum Handel an einem organisierten Markt beantragt haben.
Der RefE CSRD-Umsetzungsgesetz sieht als rein redaktionelle Änderung vor, dass in Abs. 4 die Wörter "Kapitalgesellschaften im Sinn des § 264d haben" durch die Wörter "Eine Kapitalgesellschaft, die kapitalmarktorientiert im Sinne des § 264d ist, hat" ersetzt werden.
Rz. 108
Im Risikomanagement-Bericht sind die wesentlichen Merkmale des vorhandenen Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu erläutern, womit der Fokus in zweierlei Hinsicht eingeschränkt ist:
- zum einen bezieht sich der Bericht allein auf den Rechnungslegungsprozess,
- zum anderen auf die wesentlichen Merkmale des Systems (während Art. 46a Abs. 1 Buchst. c der Bilanzrichtlinie i. d. F. d. Abänderungsrichtlinie von den "wichtigsten" Merkmalen sprach, hielt der deutsche Gesetzgeber am handelsrechtlich üblichen Begriff "wesentlich" fest).
Rz. 109
Umfang und Detailtiefe der Erläuterung hängen von den individuellen Gegebenheiten der Ges. ab, jedoch muss die Erläuterung den Rechnungslegungsadressaten eine Einsicht in das interne Kontroll- und Risikomanagementsystem in Bezug auf den Rechnungslegungsprozess ermöglichen. Gemeint ist das Interne Überwachungssystem (IÜS) bzw. Internal control system nach COSO in Bezug auf den Rechnungslegungsprozess. Hierunter fallen
- Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Rechnungslegung, zur Sicherung der Ordnungsmäßigkeit der Rechnungslegung sowie zur Sicherung der Einhaltung der maßgeblichen Rechtsvorschriften (organisatorische Sicherungsmaßnahmen und das Controlling, sofern rechnungslegungsrelevant),
- das interne Revisionssystem, soweit es auf den Rechnungslegungsprozess ausgerichtet ist,
- das Risikomanagementsystem im Hinblick auf den Risikomanagementprozess, was dann Bedeutung erlangt, wenn die Ges. Risikoabsicherungen betreibt, die handelsbilanziell abgebildet werden.
Rz. 110
Das Gesetz spricht in Abs. 4 zusammenfassend vom Risikomanagementsystem, meint jedoch das IÜS. Der Risikomanagement-Bericht hat den Prozess (die Organisation) des Risikomanagementsystems (bzw. des IÜS) mit seinen wesentlichen Merkmalen zu erläutern, nicht die Risiken als solche. Hierdurch unterbleibt eine zu umfangreiche Offenlegung, die der Gesetzgeber mit Blick auf die berechtigten schutzwürdigen Geheimhaltungsinteressen der berichtspflichtigen Ges. unterlassen wollte. Die Berichtspflicht erschöpft sich in der Systembeschreibung und enthält keine eigenständige Würdigung. Damit übermittelt das Geschäftsführungsorgan an die Rechnungslegungsadressaten keine Einschätzung über die Funktionsfähigkeit des Risikomanagementsystems. Jedoch geht der Gesetzgeber davon aus, dass bereits die Beschreibung des internen Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu einer Auseinandersetzung mit dem System und seiner Effektivität auf Seiten der Geschäftsführungsorgane zwingt.
Rz. 111
Sofern die Ges. kein Risikomanagementsystem eingerichtet hat, ist dies zu berichten, jedoch nicht zwingend zu begründen. Abs. 4 enthält explizit keine Verpflichtung zur Einrichtung oder inhaltlichen Ausgestaltung eines internen Risikomanagementsystems mit Blick auf den Rechnungslegungsprozess. Es bleibt vielmehr den geschäftsführenden Organen i. R. ihrer rechtsformspezifischen Leitungsautonomie überlassen, ein derartiges System einzurichten. Nur für die Aktiengesellschaft normiert § 91 Abs. 2 AktG eine Systemverantwortung des Vorstands, begrenzt auf die Früherkennung aller (nicht nur rechnungslegungsbezogenen) bestandsgefährdenden Risiken. Weder enthält Abs. 4 eine implizite Verpflichtung zur Einrichtung eines Risikomanagementsystems für alle kapitalmarktorientierten KapG noch eine Erweiterungsverpflichtung von einem Risikofrüherkennungs- hin zu einem umfassenderen Risikomanagementsystem. Faktisch ist jedoch nach dem Grundsatz "tue Gutes und rede darüber" zu erwarten, dass die Berichterstattungspflicht des Abs. 5 kapitalmarktorientierte KapG und ggf. auch andere KapG und KapCoGes veranlassen wird, ein derartiges System einzurichten, um dar...