FISG (Finanzmarktintegritätsstärkungsgesetz) (FISG)

Mit dem FISG ergeben sich neue Anforderungen an die Abschlussprüfung, z.B. im Hinblick auf die Prüferrotation, und den Aufsichtsrat. § 100 Abs. 2 AktG fordert zudem nun zwei Finanzexperten im Aufsichtsrat bzw. dessen Prüfungsausschuss bei Unternehmen von öffentlichem Interesse, insbesondere also den großen kapitalmarktorientierten Unternehmen/Aktiengesellschaften. Wesentlich ist die Verpflichtung zur Einrichtung eines angemessenen und wirksamen internen Kontrollsystems und eines entsprechenden Risikomanagementsystems (im neuen Abs. 3 des § 91 AktG):

„Der Vorstand einer börsennotierten Gesellschaft hat darüber hinaus ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten.“

Das Risikomanagement erfährt damit eine hervorgehobene Positionierung unter den Managementsystemen, weil nach der Diskussion über die Gesetzesvorlagen z.B. andere wesentliche Managementsysteme – wie das Compliance Management oder das Controlling – im Gesetz nicht genannt werden.

Aus ökonomischer Perspektive ist ein „umfassendes Risikomanagement“ zunächst ein System, das alle Managementsysteme und Aktivitäten einbezieht, die sich mit Risiken befassen. Man kann dabei das Risikomanagement (im weiteren Sinn) grundsätzlich so ausrichten, dass alle anderen Managementsysteme diesem zugeordnet werden, sofern sie sich mit Chancen und Gefahren (Risiken) befassen. Alternativ ist es möglich, das zentrale Risikomanagement als ein dem Vorstand (und Aufsichtsrat) verantwortliches zentrales Managementsystem zu positionieren, das die Risikoinformationen von allen anderen Managementsystemen erhält (also z.B. aus Controlling oder Compliance Management). Ein solches Risikomanagementsystem hat insbesondere die Aufgabe, bei der Vorbereitung „unternehmerischer Entscheidungen“ durch Risikoanalysen mitzuwirken („entscheidungsorientiertes Risikomanagement“).

Gem. § 107 AktG ist nun auch eine direkte Kommunikation zwischen dem Aufsichtsrat (Prüfungsausschuss) einerseits und dem Risikomanagement (sowie interner Revision und internem Kontrollsystem) andererseits vorgesehen. Zielsetzung ist es sicherzustellen, dass der Aufsichtsrat ein eigenständiges – auch vom Vorstand möglichst wenig beeinflusstes – Bild von Risikolage und Qualität des Risikomanagementsystems erhält.

Aufgrund der zentralen Positionierung des Risikomanagements in § 91 Abs. 3 AktG und der direkten Kommunikationsverbindung mit dem Aufsichtsrat ist es zu empfehlen, das Risikomanagementsystem in direkter Verantwortung dem Vorstand zuzuordnen (und damit den Leiter Risikomanagement oder Chief Risk Officer mit direktem Zugang zum Vorstand auf der zweiten Hierarchieebene des Unternehmens anzusiedeln).