Externe Risikoberichterstattung ausgewählter DAX-Unternehmen

Der Themenkomplex der externen Risikoberichterstattung von Großunternehmen erlangt über das Interesse der Öffentlichkeit hinsichtlich einer transparenten und verständlichen Offenlegung von Risiken in Jahresabschlüssen hinaus durch Prüfungsschwerpunkte der Deutschen Prüfstelle für Rechnungslegung besondere Bedeutung. In diesem Beitrag werden die auf dem DRS 20 basierende externe Risikoberichterstattung ausgewählter DAX-Unternehmen untersucht und Unterschiede im Rahmen von Intra- und Interbranchenvergleichen herausgearbeitet. Zwar lässt sich ein Trend zur Ausweitung des Umfangs der Risikoberichte feststellen, jedoch findet man mit Ausnahme von Kreditinstituten eine Quantifizierung von wesentlichen, die Unternehmen betreffenden Risiken eher selten.

I. Einleitung

Für die allgemeine Öffentlichkeit und insbesondere für Investoren ist die transparente und verständliche Offenlegung von Risiken, denen Unternehmen in ihrem Geschäftsfeld ausgesetzt sind, von großem Interesse für mögliche Anlageentscheidungen. Nicht zuletzt aufgrund der jüngsten Finanzmarkt- und Wirtschaftskrise bestehen jedoch ernsthafte Zweifel daran, ob sich die Adressaten der Risikoberichte im Rahmen der Lageberichterstattung in Verbindung mit weiteren Daten des Jahresabschlusses umfassend über Chancen und Risiken von Unternehmen informieren können.1 Der Themenkomplex Externe Risikoberichterstattung gewinnt zusätzlich dadurch an Bedeutung, dass dieser regelmäßig einen Prüfungsschwerpunkt der Deutschen Prüfstelle für Rechnungslegung darstellt,2 welche in der Vergangenheit vielfach auf Schwachstellen in der Berichtspraxis gestoßen ist.3 Das Ziel des vorliegenden Beitrags besteht darin, die externe Risikoberichterstattung von ausgewählten DAX-Unternehmen kritisch zu analysieren und aufzuzeigen, inwieweit die betrachteten Unternehmen die gesetzlichen Bestimmungen der Risikoberichterstattung im Rahmen der Konzernlageberichterstattung nach § 315 HGB und insbesondere dessen Konkretisierung durch den Deutschen Rechnungslegungs Standard Nr. 20 (DRS 20) im Zeitablauf umgesetzt und erfüllt haben.

II. Externe Risikoberichterstattung von DAX-Unternehmen

1. Empirisches Design

Ausgangspunkt und Gegenstand der nachfolgenden Analyse sind ausgewählte Unternehmen des deutschen Aktienindexes. Untersucht werden dabei ausschließlich die Risikoberichte innerhalb der Konzernlageberichterstattung, die in den Geschäftsberichten für die Geschäftsjahre 2013 bis 2015 von den betreffenden Unternehmen veröffentlicht wurden. Die Chancenberichterstattung, die überwiegend mit der Risikoberichterstattung zusammengefasst wird, wird hier nur am Rande betrachtet. Im Fokus der Untersuchung stehen die Risikoberichte für das Jahr 2015, wobei ggf. besondere Auffälligkeiten und Unterschiede zu den beiden vorhergehenden Vergleichsjahren aufgezeigt werden.

Insgesamt werden 18 Risikoberichte von drei Automobilherstellern aus der Branche der Kraftfahrzeugindustrie (BMW AG, Daimler AG und Volkswagen AG), zwei Unternehmen aus der Transport- bzw. Verkehrsbranche (Deutsche Post AG und Deutsche Lufthansa AG) sowie einem Konzern aus der Konsumgüterbranche (Beiersdorf AG) formal und inhaltlich ausgewertet. Darüber hinaus werden die Risikoberichte der Commerzbank und der Deutschen Bank zum Abgleich der Ergebnisse aus der formalen Analyse herangezogen. Die Untersuchungskriterien orientieren sich hauptsächlich am DRS 20, da dieser erstmalig verpflichtend für die nach dem 31.12.2012 beginnenden Geschäftsjahre anzuwenden ist.

2. Befunde

2.1 Formale Analyse der externen Risikoberichterstattung

Bezeichnung und Einordnung der Risikoberichterstattung

Gemäß DRS 20.117 besteht für die berichtenden Unternehmen ein Wahlrecht, im Konzernlagebericht die Risiko- (Risikobericht) getrennt von der Chancenberichterstattung (Chancenbericht) vorzunehmen oder diese in einem einzigen Bericht zusammenzufassen. Ferner besteht die Möglichkeit, beide Berichte bzw. den zusammengefassten Risiko-/Chancenbericht in den Prognosebericht zur voraussichtlichen Entwicklung des Konzerns zu integrieren (DRS 20.116). Bei der Auswahl der Art der Berichterstattung sollte diejenige gewählt werden, mit der eine klare Darstellung aus Sicht der Unternehmensleitung sichergestellt werden kann.4 Die untersuchten Konzerne gehen, wie in Abb. 1 dargestellt wird, mit diesem Wahlrecht unterschiedlich um.

Der Großteil der Unternehmen veröffentlicht einen kombinierten Risiko- und Chancenbericht, wobei BMW und Lufthansa dies erst seit 2014 umsetzen. -Zuvor wurde der Risikobericht separat erstellt. Auf-fällig ist, dass beide Kreditinstitute die Risiken getrennt von den Chancen und Prognosen darstellen. Das einzige Nicht-Kreditinstitut, das einen getrennten Risikobericht erstellt, ist die Beiersdorf AG. Die Prognoseberichterstattung wird von allen Unternehmen separat vorgenommen. Auch die Einordnung der -Risikoberichterstattung in den Konzernlagebericht -erfolgt in unterschiedlicher Art und Weise. Im Jahr 2015 hat die Hälfte der Unternehmen (BMW, VW, Commerzbank, Deutsche Bank) den Risikobericht bzw. den kombinierten Chancen- und Risikobericht nach dem Prognosebericht eingefügt, wobei bei der Commerzbank der Prognose- und Chancenbericht kombiniert wird. Bei den verbleibenden Unternehmen wird die Prognoseberichterstattung nach der Risikobericht- bzw. Chancenberichterstattung vorgenommen.

Umfang der Risikoberichterstattung

Der Umfang der Risikoberichte der untersuchten Unternehmen wird im Rahmen der formalen Analyse an der Zahl der Wörter gemessen (vgl. Abb. 2). Er ist von den jeweiligen internen Gegebenheiten sowie den Markt- und Branchenumfeldern abhängig (DRS 20.147).

Für das Geschäftsjahr 2015 ergibt sich für die Risikoberichterstattung eine Spannweite von 1.279 Wörtern bei Beiersdorf bis zu 39.079 Wörtern bei der Deutschen Bank. Wie aufgrund der gesonderten Anforderungen an die Risikoberichterstattung von Kredit-instituten zu erwarten ist, liegt die Anzahl der Wörter bei den Banken weitaus höher als bei den Unternehmen der anderen Branchen. Darüber hinaus ist es auffällig, dass die Anzahl der Wörter bei der Deutschen Bank in allen Vergleichsperioden wesentlich höher als bei der Commerzbank ist. Generell lässt sich der Trend feststellen, dass die Risikoberichterstattung der untersuchten Unternehmen von Jahr zu Jahr umfangreicher wird. Im Durchschnitt ist sie von 2013 zu 2015 um knapp 22 % gestiegen, wobei Daimler mit einem Anstieg von 79 %5 und die Deutsche Bank mit einem Rückgang von 33 % als Ausreißer nach oben bzw. nach unten zu sehen sind.

2.2 Inhaltliche Analyse der externen Risikoberichterstattung

Der Risikobericht nach DRS 20 für kapitalmarktorientierte Unternehmen soll die folgenden Elemente enthalten: Angaben zum Risikomanagementsystem, Angaben zu den einzelnen Risiken und eine zusammenfassende Darstellung der Risikolage (DRS 20.135). Alle untersuchten Unternehmen haben die empfohlene Struktur des DRS 20 über den gesamten Untersuchungszeitraum umgesetzt und ihre Risikoberichte entsprechend gegliedert.

Angaben zum Risikomanagementsystem 

Die Angaben zum Risikomanagementsystem (RMS)  werden in den Tz. K137 bis K145 beschrieben.6 Zunächst wird von kapitalmarktorientierten Unternehmen gefordert, dass die Merkmale des im Konzern vorhandenen RMS beschrieben werden. Dabei sollen das Ziel des RMS und dessen Strategie erläutert sowie die Struktur und der Risikomanagementprozess (RMP) dargestellt werden; die Darlegung des RMP sollte folgende Prozessschritte beinhalten: Identifikation, Bewertung, Steuerung, Kontrolle und Überwachung. Wenn das RMS von einer internen Revision überprüft wird, sollte an der Stelle dazu ein Hinweis erfolgen. Außerdem sind Aussagen darüber zu treffen, ob sich Veränderungen zum Vorjahr ergeben haben und ob das RMS auf einem anerkannten Rahmenkonzept basiert. Ein Beispiel für ein derartiges Rahmenkonzept ist das COSO Enterprise Risk Management – Integrated Framework.7 Innerhalb der Ziele und der Strategie des RMS muss dargelegt werden, ob bzw. welche Risiken existieren, die vom RMS nicht erfasst oder vermieden werden können. Bei den Ausführungen zur Struktur des RMS soll der Risikokonsolidierungskreis benannt werden, falls es in dem Zusammenhang Abweichungen zum Konzernabschluss gibt. Gemäß DRS 20.K145 besteht zudem die Möglichkeit, auf die Prüfung des Risikofrüherkennungs- und internen Überwachungssystems einzugehen.

Die Auswertung der Risikoberichte zeigt, dass alle untersuchten Konzerne im Rahmen der Beschreibung ihrer RMS auf deren Ziele und Strategien eingehen. Vordergründig soll das RMS dazu beitragen, die Unternehmensziele zu erreichen bzw. den Unternehmenswert nachhaltig zu steigern. VW setzt sich zum Ziel, dass „potenzielle Risiken frühzeitig erkannt werden, um mit geeigneten Maßnahmen gegenzusteuern und so drohende Schäden für das Unternehmen abwenden und eine Bestandsgefährdung ausschließen zu können“8. Zur Risikostrategie merkt Daimler an, dass „im Rahmen des Strategieprozesses (…) Risiken, die mit der geplanten längerfristigen Entwicklung verbunden sind, und Chancen für weiteres profitables Wachstum ermittelt und in den Entscheidungsprozess eingebracht (werden). Um unternehmerische Risiken und Chancen frühzeitig zu erkennen, zu bewerten und konsequent zu handhaben, werden wirksame Steuerungs- und Kontrollsysteme eingesetzt, die jeweils in einem Risiko- und Chancenmanagement gebündelt sind“9. Ziele und Strategien der RMS bleiben bei den untersuchten Konzernen im Betrachtungszeitraum unverändert.

Mit Bezug auf den RMP stellen bis auf Beiersdorf alle anderen Unternehmen diesen Prozess in unterschiedlicher Tiefe dar. Dabei werden entweder vier oder fünf Prozessschritte genannt. Zusätzlich werden zur Visualisierung des RMS von drei Konzernen entsprechende Abbildungen genutzt. Die Lufthansa erläutert bspw. konkret die folgenden Prozessschritte: Risikoidentifikation, Risikobewertung, Risikosteuerung und Risikoüberprüfung. Damit hält sich die Lufthansa bei der Bezeichnung der einzelnen Schritte sehr nahe an die Angabe aus DRS 20.K145. Zudem wird angegeben, dass die Interne Revision das RMS überprüft. Die Überprüfung durch die jeweilige Interne Revision erfolgt bei allen untersuchten Unternehmen. Ein allgemein anerkanntes Rahmenkonzept für das RMS nennt nur ein Drittel der Konzerne. Dabei wird ausschließlich auf COSO verwiesen. Mit Blick auf die Angabe wesentlicher Veränderungen in der Gestaltung des RMS fällt auf, dass lediglich VW dazu Stellung nimmt. Es werden zwar keine direkten Veränderungen zum Vorjahr angegeben, allerdings erfolgt der Hinweis, dass vor dem Hintergrund der Abgasthematik aus dem Jahr 2015 sinnvolle Weiterentwicklungen des Systems diskutiert werden. Zwei Drittel der Konzerne geben den generellen Umgang mit Risiken an. In diesem Zusammenhang informiert BMW die Adressaten der Berichterstattung darüber, dass grundsätzlich -keinerlei bestandsgefährdende Risiken eingegangen werden. Beiersdorf konstatiert dagegen Folgendes: „Wir gehen Risiken nur dann ein, wenn ihnen die Chance auf eine angemessene Wertsteigerung entgegensteht und sie mittels anerkannter Methoden und Maßnahmen innerhalb unserer Organisation handhabbar sind“10. Angaben zum Risikokonsolidierungskreis werden von vier Konzernen gemacht. Die Hälfte der Unternehmen informiert den Leser darüber, dass das Risikofrüherkennungs- und interne Überwachungssystem durch den Wirtschaftsprüfer überprüft werden. VW und Lufthansa weisen im Hinblick auf das Prüfungsergebnis darauf hin, dass das System die gesetzlichen Anforderungen vollumfänglich erfüllt. Die Ausführungen zur Ausgestaltung der RMS fallen bei den analysierten Konzernen insgesamt sehr heterogen aus und enthalten unternehmensspezifische Besonderheiten. Bspw. berichtet VW, dass selbst ein „gutes“ RMS nicht alle Risiken prophezeien und regelwidrige Handlungen nicht immer abwenden kann. Die Deutsche Post weist explizit auf die Monte-Carlo-Simulation im Rahmen der Chancen- und Risikoaggregation hin.11 BMW gibt an, sich mit anderen Unternehmen auszutauschen, um das RMS regelmäßig weiter zu entwickeln und dadurch laufend auf den neuesten Stand der Erkenntnisse zu bringen.

Angaben zu einzelnen Risiken

Im Zentrum der Risikoberichterstattung steht die Darstellung der Einzelrisiken. Mit Blick auf bestehende Einzelrisiken wird es als erforderlich angesehen, dass innerhalb des Risikoberichts über wesentliche und bestandsgefährdende Risiken berichtet wird, die Entscheidungen von verständigen Adressaten beeinflussen können. Durch den Fokus der Berichterstattung auf die wesentlichen Risiken soll erreicht werden, dass die Übersichtlichkeit des Berichtsaufbaus durch eine evtl. Berichterstattung über unwesentliche Risiken nicht verloren geht.12 Im Mittelpunkt der Berichterstattung sollten die besonderen Gegebenheiten des Konzerns (interne Risiken) und dessen Umfeld (externe Risiken) stehen. Es wird hierbei als nicht ausreichend erachtet, einzelne Risiken lediglich aufzulisten. Stattdessen sollten die Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß für jedes wesentliche Einzelrisiko analysiert und beurteilt werden. Die quantitative Bewertung kann beispieslweise durch Sensitivitätsanalysen oder den Value at Risk ergänzt werden. Da eine Risikoquantifizierung jedoch häufig Schwierigkeiten bereitet13, wird diese allerdings nur dann für erforderlich gehalten, sofern die quantitative Bewertung auch zu internen Steuerungszwecken genutzt wird und für das Verständnis des Berichtsadressaten wesentlich ist. Die Pflicht zur Quantifizierung von Risiken wird zudem durch Tz. 154 eingeschränkt. Demgemäß kann die Quantifizierung unterlassen werden, sofern die Position des Unternehmens dadurch gefährdet werden könnte (z. B. im Rahmen eines Rechtsstreits). Als Berichtszeitraum sieht Tz. 156 mindestens den verwendeten Prognosezeitraum, und somit mindestens ein Jahr ab dem Konzernabschlussstichtag, vor. Dabei sind auch Veränderungen zum Vorjahr aufzuzeigen. Bei der Darstellung der Auswirkungen von Risiken besteht für die Konzerne ein Wahlrecht zwischen der Bruttodarstellung, d. h. vor Umsetzung von Risikobegrenzungsmaßnahmen, und der Nettodarstellung, d. h. nach der Umsetzung von Maßnahmen zur Risikobegrenzung. Unabhängig davon müssen die gewählten Maßnahmen dargelegt werden. Auch bei der Darstellung der einzelnen Risiken haben die Konzerne ein Wahlrecht. Sie können dabei entweder ähnliche Risiken zu Kategorien zusammenfassen oder die Risiken geordnet nach Bedeutung in einer Rangfolge erläutern (DRS 20.146-164).

Alle untersuchten Unternehmen haben bei der Darstellung der Einzelrisiken die Risikokategorisierung gewählt. Abb. 3 zeigt die Anzahl der Kategorien im Konzern- und im Dreijahresvergleich.

VW bildet mit Abstand die meisten Kategorien (20 in 2015). Im Durchschnitt werden fünf Risikokategorien unterschieden. Bei BMW, Daimler und Beiersdorf ist laut eigenen Angaben die Kategorisierung im Zeitablauf unverändert geblieben.

Als am häufigsten gebildete Risikokategorien werden genannt: 1. Finanzwirtschaftliche Risiken, 2. Strategische und branchenspezifische Risiken, 3. Rechtliche Risiken sowie 4. Politische und gesamtwirtschaftliche Risiken. Für die Analyse der Einzelrisiken innerhalb der Risikokategorien ergibt sich folgendes Bild (vgl. Abb. 4):

Im Durchschnitt haben die Konzerne im Jahr 2015 über 77 Einzelrisiken berichtet, wobei die Spannweite zwischen 21 Einzelrisiken bei Beiersdorf und 130 Einzelrisiken bei Daimler liegt. Insgesamt hat sich die Anzahl der Einzelrisiken, insbesondere bei den Automobilherstellern, im Zeitablauf tendenziell erhöht, wohingegen sich diese bei der Deutschen Post, Lufthansa und Beiersdorf nur marginal verändert hat und teilweise sogar gesunken ist. Im Hinblick auf die Beurteilung der Risiken haben alle Konzerne angegeben, dass die Klassifizierung von Risiken auf Basis der Bewertung von Eintrittswahrscheinlichkeit und potenziellem Schadensausmaß bei Eintritt des Risikos erfolgt. Zwei Drittel der Konzerne haben die Eintrittswahrscheinlichkeit der Risiken und die erwartete Schadenshöhe quantifiziert, wobei bei BMW lediglich eine Quantifizierung des Schadensausmaßes und nicht der Eintrittswahrscheinlichkeit vorgenommen wird. Drei Unternehmen haben das Jahresergebnis vor Zinsen und gewinnabhängigen Steuern (EBIT) als Bezugsgröße für die Ermittlung des Schadensausmaßes angegeben. Die Quantifizierung erfolgt bei allen Unternehmen anhand der Bildung von Klassen, wobei die Unternehmen unterschiedliche Systematiken in Bezug auf Eintrittswahrscheinlichkeit und Schadensausmaß zugrunde legen, die vorwiegend anhand von Abbildungen oder Tabellen dargestellt werden. Beispielhaft wird nachstehend die Risikobewertung der Lufthansa gezeigt (vgl. Abb. 5).

Im Vergleich mit der Systematik von Daimler fällt auf, dass der Automobilbauer jeweils nur zwischen drei verschiedenen Klassen bzw. Stufen unterscheidet: Eintrittswahrscheinlichkeit („niedrig“: 0-33 %, „mittel“: 33-66 % und „hoch“: 66-100 %) und mögliches Ausmaß („niedrig“: 0-500 Mio. Euro, „mittel“: 500 Mio. Euro -1 Mrd. Euro und „hoch“: größer als 1 Mrd. Euro). Während Lufthansa ein Risiko schon bei einem Schaden von 340 Mio. Euro als „kritisch“ betrachtet, entsteht bei Daimler ein „hohes“ Risiko erst ab einer Mrd. Euro. Beiersdorf und VW verzichten hingegen komplett auf eine quantitative und auch qualitative Darstellung von Risikowahrscheinlichkeit und -auswirkung.

Bei der Illustration der konkreten Einzelrisiken verwenden die Konzerne häufig tabellarische Übersichten. BMW bestimmt z. B. für jede Risikokategorie die Risikohöhe und die Veränderung zum Vorjahr, sodass sich diese Angaben auf einen Blick ablesen lassen (s. Abb. 6). Veränderungen zum Vorjahr werden neben BMW von drei weiteren Konzernen aufgezeigt. Dies erfolgt allerdings auf unterschiedliche Art und nicht durchgängig bei allen genannten Risiken.

Erwähnenswert ist zudem die entsprechende Gesamt-übersicht über alle Risiken bei der Lufthansa, da dort die Top-Risiken, differenziert in qualitative und quantitative Risiken, dargestellt werden und darüber hinaus die Seitenzahl angegeben ist, auf der die Top-Risiken erläutert werden.

Maßnahmen, mit denen Risiken begegnet werden, werden von sämtlichen Konzernen genannt. Dies erfolgt allerdings zumeist auf qualitative Weise. Quantitative Maßnahmen werden überwiegend nur innerhalb der Darstellung der Finanzrisiken genannt. Dabei wird zunehmend auch auf den Konzernanhang verwiesen. BMW nutzt bspw. Value at Risk- und Cashflow at Risk-Modelle sowie Szenarioanalysen. Die Lufthansa bewertet Treibstoffpreisänderungen quantitativ mit Hilfe von Ölpreisszenarien und Hedging-Verfahren. Zudem werden sowohl von der Lufthansa als auch von der Deutschen Post Währungsrisiken quantifiziert. Beiersdorf demgegenüber verzichtet vollständig auf quantitative Angaben. Die Deutsche Post nimmt als einziger Konzern Tz. 154 der DRS 20 in Anspruch, indem aus Gründen des Selbstschutzes auf eine quantitative Bewertung von Risiken (aufgrund von laufenden Rechtsverfahren) verzichtet wird.

Die Darstellung der Auswirkungen von Risiken wird von den Konzernen unterschiedlich gehandhabt. Wie aus Abb. 7 ersichtlich wird, nutzt die Hälfte der Unternehmen die Nettobetrachtung. Lediglich Daimler verwendet die Bruttobetrachtung, ohne diese jedoch explizit zu nennen. Beiersdorf und die Deutsche Post verzichten vollständig auf eine entsprechende Angabe.

Zum Zeitraum der Berichterstattung über die Risiken haben nur zwei Unternehmen eine Aussage getroffen. Dabei wurde entweder der Prognosezeitraum zugrunde gelegt oder ein konkreter Beurteilungszeitraum genannt.

Zusammenfassende Darstellung der Risikolage

Die dargestellten Risiken sind innerhalb des Risikoberichts zu einem Gesamtbild der Risikolage zusammenzufassen. Der Zweck dieser Zusammenfassung liegt darin, ein Fazit aus den vorhergehenden Darlegungen zu ziehen und die Risikolage des Konzerns aus Sicht der Konzernleitung verdichtend zu interpretieren. Konkrete inhaltliche Aspekte gibt der entsprechende Standard nicht vor, es wird lediglich beispielhaft auf eine mögliche Angabe der Risikotragfähigkeit hingewiesen (DRS 20.161-162).

Sämtliche Unternehmen haben über alle drei Berichtsjahre hinweg die Risikolage zusammenfassend dargelegt. Für das Geschäftsjahr 2015 haben fünf Unternehmen (Ausnahme: Deutsche Post) die Gesamtaussage an den Schluss des Risiko- bzw. kombinierten Risiko- und Chancenberichts gestellt. Im Hinblick auf inhaltliche Aspekte zeigt sich, dass sämtliche Unternehmen der Automobilbranche und ein Unternehmen der Transport-/Verkehrsbranche bei der Gesamtaussage Risikoschwerpunkte setzen. BMW und Daimler geben branchenbedingte Risiken an. BMW erläutert überdies mögliche Gründe für die Zunahme der Risiken in den dargestellten Bereichen. Als Risikoschwerpunkte werden zudem häufig gesamtwirtschaftliche Faktoren genannt. VW erwähnt als einziges Unternehmen konkrete Einzelrisiken als Schwerpunkte.

Die Veränderung der Risikosituation im Vergleich zum Vorjahr wird von allen Unternehmen beschrieben. Dabei hat sich die Situation bei vier Unternehmen im Vergleich zum Vorjahr nicht wesentlich verändert. Nur BMW und Volkswagen sehen sich in 2015 einer verschärften Risikolage im Vergleich zum Vorjahr ausgesetzt. Bei VW resultiert dies nach eigener Angabe insbesondere aus den Folgen des Abgasskandals. Ferner wird von allen Unternehmen eine Fehlanzeige zu bestandsgefährdenden Risiken gegeben. Lediglich die Deutsche Post nimmt dabei Bezug auf den aktuellen Prognosezeitraum. Zudem hat auch nur die Deutsche Post Bezug auf eine Einschätzung von Ratingagenturen bzw. zum positiven Kreditrating genommen. Dagegen hat BMW die Stabilität der finanziellen Ausstattung des Konzerns betont. Weiterhin lässt sich feststellen, dass die Hälfte der Unternehmen angegeben hat, dass sich die Gesamtrisikolage aus den bestehenden Einzelrisiken zusammensetzt. Vier Unternehmen sind auf die Wirksamkeit des bestehenden RMS eingegangen. Bezüglich des Vergleichs der untersuchten Berichte aus 2015 mit den jeweiligen Vorjahren zeigt sich im Hinblick auf die Gesamtrisikolage, dass oftmals nur marginale Änderungen vorgenommen wurden. Bei Beiersdorf und der Deutschen Post waren die Berichte jahresübergreifend sogar exakt gleich.

Weitere Inhalte des Risikoberichts

Zusätzlich zu den vorgenannten Berichtsinhalten haben kapitalmarktorientierte Unternehmen die Möglichkeit, die Beschreibung der Aktivitäten des Internen Kontrollsystems und des RMS bezogen auf den Konzernrechnungslegungsprozess in den Risikobericht zu integrieren. Dadurch soll der Berichtsadressat die Risiken, die mit dem Konzernrechnungslegungsprozess verbunden sind, besser einschätzen können. In diesem Zusammenhang besteht insbesondere die Möglichkeit, diesen Bericht mit den Angaben zum allgemeinen RM zusammenzufassen, sofern die Übersichtlichkeit und Klarheit der Ausführungen dadurch nicht verloren geht (DRS 20.K168-K169). Von der Möglichkeit, diesen Berichtsteil in den allgemeinen Risikobericht zu integrieren, machen fünf Unternehmen Gebrauch. Lediglich BMW führt diesen Berichtsteil separat im zusammengefassten Lagebericht auf.

Ein weiteres Instrument, das gemäß des DRS 20 in den allgemeinen Risikobericht integriert werden kann, ist die „Risikoberichterstattung in Bezug auf die Verwendung von Finanzinstrumenten“ (DRS 20.180). Diese Möglichkeit wird allerdings allein von VW und das relativ knapp unter dem Punkt Risiken aus Finanz-instrumenten genutzt. Daimler und Beiersdorf ver-weisen in diesem Zusammenhang auf den Anhang.

3. Kritische Würdigung der Untersuchungsergebnisse

Im Hinblick auf die formale Analyse lässt sich zunächst positiv festhalten, dass der Risikobericht bei allen untersuchten Unternehmen eindeutig von anderen Berichtsteilen abgegrenzt wird und sich somit vom Berichtsadressaten mit Blick auf das Inhaltsverzeichnis des jeweiligen Geschäftsberichts leicht auffinden lässt. Zudem zeigt sich überwiegend, dass die mit Einführung des DRS 20 erlaubte Zusammenfassung von Risiko- und Chancenbericht in einem einzigen Bericht umgesetzt wird. Mit Ausnahme der Kreditinstitute verzichtet lediglich Beiersdorf auf eine zusammenfassende Darstellung. Mit der Trennung von Chancen und Risiken wird dabei möglicherweise noch der alten Rechtslage gefolgt, da gemäß des DRS 5.5 die Berichterstattung über Chancen innerhalb des Prognoseberichts zu erfolgen hatte.14 Die von allen Unternehmen getätigte Trennung vom Prognosebericht kann kritisch gesehen werden, da sowohl die Risiko- bzw. Chancenberichterstattung und die Prognoseberichterstattung zukunftsorientierte Berichtsteile sind, die die voraussichtliche Entwicklung darstellen und daher eng miteinander verzahnt sind.15 Dadurch, dass gemäß des DRS 20.117 bei einer Trennung im Prognosebericht auf Chancen und Risiken eingegangen werden muss, können Redundanzen entstehen. Eine Bündelung der verschiedenen Berichtsteile innerhalb eines einzigen Berichts könnte dessen Aussagekraft erhöhen.16

Die Analyse des Berichtsumfangs hat ergeben, dass der Trend zur Ausweitung der Risikoberichte im Vergleich zu vorherigen Studien weiter fortgeführt wird. Auch der erhöhte Berichtsumfang bei den Kreditinstituten im Vergleich zu Nicht-Banken wurde bestätigt.17  Erwähnenswert ist in diesem Zusammenhang eine aktuelle Studie der Kirchhoff Consult AG zur Prognoseberichterstattung von DAX 30-Unternehmen, in der herausgefunden wurde, dass sowohl der längste als auch der kürzeste Prognosebericht der untersuchten Unternehmen eine vergleichsweise niedrige Transparenz aufweist.18 Übertragen auf die Risikoberichterstattung bedeutet dies, dass ein Risikobericht mit einer hohen Anzahl von Wörtern nicht zwingend etwas über dessen Qualität aussagt. Ein umfangreicher Bericht gilt zwar als Indikator dafür, dass detailliert über Risiken des Unternehmens berichtet wird.19 Eine Erweiterung des Umfangs bringt jedoch nicht immer einen Zusatznutzen an Informationen für die Berichtsadressaten.20 Eine Studie aus dem Jahr 2009 zeigt, dass der Grenznutzen der Risikoberichte mit steigendem Berichtsumfang abnimmt.21 Durch die Ausweitung des Umfangs entsteht die Gefahr einer Informationsüberflutung, sodass der Berichtsadressat wesentliche Informationen nur noch mühsam filtern und diese daher ggf. nicht mehr als entscheidungsnützlich identifizieren kann.22 In diesem Kontext ist der Risikobericht der Deutschen Bank zu erwähnen, der sich im Jahr 2015 im Vergleich zu den Vorjahren durch eine Umstellung der Berichtsweise nahezu halbiert hat. Im Sinne einer Informationsüberflutung bei den sehr umfangreichen Berichten der Banken ist dies zunächst zu begrüßen. Ein umfangreicher Risikobericht kann sich allerdings auf das berichtende Unternehmen selbst auswirken. Zum einen besteht eine Chance darin, dass Investoren den Risikozuschlag in den Kapitalkos-ten reduzieren, wenn sie sich durch eine umfassende Risikoberichterstattung einen nachvollziehbaren Eindruck über die Risikolage des Unternehmens verschaffen können. Zum anderen wird aber das Risiko von evtl. entstehenden Wettbewerbsnachteilen vergrößert, wenn Konkurrenten detailliert über wesentliche Einzelrisiken und das interne RMS informiert werden.23

Die branchenübergreifende Inhaltsanalyse hat gezeigt, dass alle untersuchten Unternehmen ihre Risikoberichte von der Struktur her ähnlich aufbauen, sodass die vom DRS 20 geforderten inhaltlichen Elemente von allen Unternehmen in unterschiedlicher qualitativer und quantitativer Ausprägung dargestellt werden. Die einzelnen Elemente lassen sich unter separaten Überschriften in den Risikoberichten schnell auffinden.

Die Offenlegung des RMS ist vom Gesetzgeber nicht explizit in § 315 HGB gefordert.24 Nichtsdestotrotz stellen sämtliche Unternehmen das RMS in unterschiedlicher Intensität dar und folgen damit den erhöhten Vorgaben des DRS 20. Dies kann als positiv erachtet werden, da die Berichtsadressaten dadurch einschätzen können, wie die jeweiligen Unternehmen intern mit Risiken umgehen. Als einziges kreditinstitutsfremdes Unternehmen gibt VW an, das RMS an dem Konzept der drei Verteidigungslinien auszurichten. Dieses Modell wird von der European Confederation of Institutes of Internal Auditing als geeignetes Werkzeug im RM unterstützt und findet zunehmend Anwendung.25 VW beschreibt das Konzept informativ und stellt es grafisch in einer Abbildung dar. Abbildungen, insbesondere zu den Beschreibungen zum RMS bzw. zu den RMP, sind generell wünschenswert, da diese einen bestimmten Sachverhalt klarer verdeutlichen können. Die meisten Unternehmen kommen dieser Forderung nach. Einige Unternehmen geben zudem ein allgemein anerkanntes Rahmenkonzept zum RMS an, wobei ausschließlich das inzwischen in der Praxis etablierte COSO Enterprise Risk Management – Integrated Framework genannt wird.26 Die Verwendung von Rahmenkonzepten ist generell zu begrüßen, da diese als nützliche Orientierungshilfe für die Berichtsadressaten dienen können27 und grundsätzlich als Best Practice angesehen werden.28

Die Berichterstattung über die wesentlichen Risiken der voraussichtlichen Entwicklung steht im Mittelpunkt der Risikoberichterstattung. Alle untersuchten Unternehmen wählen die Risikokategorisierung zur Darstellung ihrer Einzelrisiken. Die mit Einführung des DRS 20 gegebene Möglichkeit, Einzelrisiken anhand einer Rangfolgenbildung darzustellen, wird nur von der Lufthansa zusätzlich zur Risikokategorisierung genutzt, indem die sog. Top-Risiken des Unternehmens angegeben werden. Die Lufthansa hat die Darstellung der Top-Risiken erst mit der Erstellung des Risikoberichts für das Jahr 2015 eingeführt. Gelungen ist deren tabellarische Übersicht, in der u. a. der Hinweis gegeben wird, auf welcher Seite des Risikoberichts der interessierte Leser genauere Informationen zu den jeweiligen quantitativen oder qualitativen Risiken findet. Es wäre wünschenswert, dass weitere Unternehmen diese Art der Darstellung übernehmen. Die Rangfolgenbildung kann dem Adressaten einen großen Mehrwert bieten, da auf einen Blick erkannt werden kann, welchen Risiken die größte Bedeutung beizumessen ist.29 Dadurch können die wichtigsten Risiken von weniger bedeutsamen Risiken direkt unterschieden werden, wodurch die Aussagekraft des Risikoberichts gesteigert wird.30 Ein kritischer Punkt ist jedoch die schwer umsetzbare Quantifizierung von Risiken. Diese kann für die Leser bei der Beurteilung der Risikoberichte eine große Entscheidungsrelevanz aufweisen.31 Einige der untersuchten Unternehmen quantifizieren mittlerweile Eintrittswahrscheinlichkeit und Schadensausmaß der Risiken. Zu begrüßen ist in dem Zusammenhang eine Darstellung anhand einer Risikomatrix, aus der sich diese beiden Parameter ablesen lassen. Gefallen findet dabei die Risikoklassifizierung der Daimler AG, die die Eintrittswahrscheinlichkeit in Prozent und das Schadensausmaß in Euro angibt und diese beiden Größen nach verschiedenen Stufen sortiert. Innerhalb der jeweiligen Risikokategorie kann der Adressat auf einen Blick für eine Vielzahl von Risiken die zahlenmäßige Eintrittswahrscheinlichkeit und die entsprechende Auswirkung erkennen. Diese Information erhöht die Entscheidungsnützlichkeit für den Adressaten enorm. Notwendig ist ferner, dass ein Zielgrößenbezug (z. B. EBIT) angegeben wird, damit die Auswirkungen der Risikobewertung vom Berichtsadressaten adäquat nachvollzogen werden können.32 Erwähnenswert ist die Risikomatrix der Lufthansa. Diese unterscheidet zum einen nach qualitativen und quantitativen Risiken und unterteilt zum anderen in A-, B-, C-, und D-Risiken. Die Lufthansa nennt dabei speziell den Wesentlichkeitsgrundsatz, demzufolge A- und B-Risiken als wesentliche Risiken gelten und daher näher beschrieben werden. Die Deutsche Post hingegen tätigt zwar auch die Aussage zur Wesentlichkeit der Risiken (hohe und mittlere Bedeutung), erläutert aber dennoch zudem Risiken mit niedriger Bedeutung. Dies kann als Verstoß gegen den Wesentlichkeitsgrundsatz gesehen werden. Besonders dünn in diesem Kontext ist die Aussage von Beiersdorf. Es wird lediglich in einem einzigen Satz erwähnt, dass die Klassifizierung von Risiken anhand der Bewertung von Eintrittswahrscheinlichkeit und finanzieller Auswirkung erfolgt. Da weder quantitative noch qualitative Angaben bzw. verbale Erläuterungen erfolgen, ist eine Entscheidungsnützlichkeit dieser Information für den Adressaten nicht ableitbar. Der Risikobericht von Beiersdorf beinhaltet keinerlei quantitative Angaben. Es erscheint fragwürdig, dass ein Konzern des DAX 30 keinerlei Risiken ausgesetzt ist, die für den Adressaten wesentlich sind, und zudem intern keinerlei Quantifizierung von Risiken erfolgt. Kritisch zu hinterfragen ist darüber hinaus das vom DRS 20.157 gewährte Wahlrecht zur Beurteilung der Auswirkungen von Risiken nach dem Brutto- oder dem Nettoprinzip. Die Bruttobetrachtung, die aus dem Kreis der untersuchten Unternehmen nur von Daimler genutzt wird, ist generell zu bevorzugen, da dadurch eine vollständige Offenlegung der wesentlichen Risiken und der getroffenen Maßnahmen zur Entschärfung der Risiken vorgenommen wird. Die Adressaten haben folglich selbst die Möglichkeit zu entscheiden, ob sie die getroffenen Maßnahmen als wirksam erachten oder nicht.33 Bei der von den untersuchten Unternehmen bevorzugten Nettodarstellung kann der Adressat die Wirkung der getroffenen Gegenmaßnahmen nicht direkt überprüfen. Zudem erschwert ein gewährtes Wahlrecht grundsätzlich die unternehmensübergreifende Vergleichbarkeit. Besonders kritisch ist es allerdings zu sehen, wenn keinerlei Informationen zur Brutto- oder Nettodarstellung veröffentlicht werden (z. B. Beiersdorf). Dem Leser wird dadurch die Möglichkeit genommen, sich eine unverzerrte Meinung über die Risikolage des entsprechenden Unternehmens zu bilden.34 Die Berichterstattung über die Einzelrisiken innerhalb der gebildeten Kategorien wird von den analysierten Unternehmen sehr heterogen und in unterschiedlicher Tiefe vorgenommen. Als Beispiele zu nennen sind die Risiken aus der Beschaffung bei VW. Aufgrund der Berichterstattungen über den Streit mit dem Zulieferer Prevent im August 201635 wäre eine umfassende Darstellung von Lieferantenabhängigkeiten im Risikobericht erstrebenswert. VW beschreibt dieses Risiko zwar allgemein. Die Auswirkungen, insbesondere finanzieller Art, sowie die Maßnahmen, die gegen eine Lieferantenabhängigkeit getroffen werden, bleiben hingegen unerwähnt. Wünschenswert wäre es, wenn die Darstellung der Risiken insgesamt in einer einheitlichen strukturierten Form erfolgen würde. Eine beispielhafte Strukturierung zur Erläuterung und Beurteilung von Einzelrisiken könnte wie folgt aussehen: Nennung des jeweiligen Risikos, Beschreibung der Risikoursache, Maßnahmen und Auswirkungen.36 Leider hat keines der untersuchten Unternehmen eine derartige Struktur verwendet, die eine Vergleichbarkeit innerhalb der verschiedenen Risikoberichte erleichtern würde. Als gutes Beispiel außerhalb des Untersuchungskreises kann der Risikobericht der Henkel AG & Co genannt werden, der solch eine Strukturierung durchgängig enthält.

Im Hinblick auf die Zusammenfassung der Risikolage hat es sich in der Praxis weitestgehend etabliert, dass diese am Ende des Risikoberichts vorgenommen wird. Aber auch die Darstellung am Anfang des Risikoberichts (Deutsche Post) macht durchaus Sinn. So hat der Leser die Möglichkeit, anhand der Informationsverdichtung direkt zu Beginn und in kurzer Zeit eine Ersteinschätzung zur Risikolage zu treffen, ohne den gesamten Risikobericht lesen zu müssen. Dadurch lassen sich Suchkosten für den Adressaten reduzieren.37 Im Anschluss kann der Adressat sich entsprechend seinen Informationsbedürfnissen tiefergehend mit den einzelnen Inhalten des Risikoberichts beschäftigen.38 Als Best Practice kann das Gesamtbild der Risiko- und Chancenlage von BMW angesehen werden. Wie die Mehrzahl der Unternehmen erläutert BMW zunächst, wie die Einschätzung zur Gesamtrisikolage zustande kommt. Hilfreich allerdings wäre in diesem Zusammenhang eine quantitative Angabe der Gesamtrisikoposition, z. B. anhand einer Monte-Carlo-Simulation. Ohne diese Angabe ist es für den Berichtsadressaten nicht ersichtlich, ob die Gesamtrisikolage ökonomisch bestimmt wurde.39 Ferner nennt BMW die Bereiche, in denen Risiken zu- bzw. abgenommen haben, und begründet dies direkt an den jeweiligen Stellen. Änderungen im Vergleich zum Vorjahr werden angegeben. Neben Hinweisen zur Bestandsgefährdung und zu Änderungen zum Vorjahr sind für den Adressaten des Weiteren Aussagen über die finanzielle Ausstattung des Unternehmens entscheidend, die außer der Lufthansa nur noch von der Deutschen Post getroffen werden. Insbesondere der Negativhinweis zu bestandsgefährdenden Risiken kann Unsicherheiten seitens der Adressaten verringern und somit zu einem Abbau von Informationsasymmetrien beitragen.40 Bemerkenswert ist die Darstellung der Gesamtbeurteilung der Lufthansa, in der explizit darauf hingewiesen wird, dass diese Aussage von der Unternehmensleitung getroffen wird. Insbesondere die Information, dass die Unternehmensleitung von der Wirksamkeit des Chancen- und RMS überzeugt ist, lässt vermuten, dass auf diese Art Vertrauen in das Unternehmen geschaffen werden soll. Vergleichsweise wenig aussagekräftig ist die Gesamtaussage zur Risikosituation der Beiersdorf AG, die zwar knappe Informationen darüber preisgibt, wie sich die Gesamtaussage zusammensetzt, dass keine Veränderungen zum Vorjahr und aktuell keine bestandsgefährdenden Risiken bestehen. Es wurden allerdings keinerlei Aussagen über aktuelle unternehmensspezifische Gegebenheiten und Risiken getroffen, sodass die gegebenen Informationen für den Adressaten insgesamt doch sehr allgemein bleiben. Die Gesamtaussage war zudem, wie auch bei der Deutschen Post, in allen drei analysierten Berichtsjahren exakt gleich.

Die Risikoberichte der beiden untersuchten Kredit-institute weichen wie erwartet umfassend in Aufbau und Inhalt von denen der Unternehmen aus anderen Branchen ab. Aber auch institutsübergreifend bestehen gravierende Unterschiede, deren Gründe nicht zuletzt in der Umsetzung des jeweiligen Management Approachs liegen könnten. In formaler Hinsicht lässt sich festhalten, dass der Risikobericht der Commerzbank sehr übersichtlich und strukturiert aufgebaut ist. Mit der Verkürzung des Risikoberichts der Deutschen Bank ist leider dessen Übersichtlichkeit verloren gegangen. Der Bericht ist seit dem Jahr 2015 prinzipiell zweigeteilt: Die erste Hälfte behandelt allgemeine Aussagen zu den einzelnen Berichtsinhalten und zu den angewandten Messmethoden (z. B. allgemeine Erläuterung zum Umgang mit Kreditrisiken). Der zweite Teil befasst sich schließlich mit den quantitativen Ausprägungen (z. B. Quantifizierung von Kreditrisiken). Diese Zweiteilung erschwert es dem Berichtsadressaten, entscheidungsnützliche Informationen zu finden, da er zu jedem Thema mindestens zwei Stellen des Risikoberichts begutachten muss. Zudem geben die einzelnen Kapitelüberschriften keine direkte Auskunft darüber, an welcher Stelle der Berichts-adressat welche Informationen finden kann. Einen Mehrwert bietet insbesondere der von der Commerzbank an den Beginn des Risikoberichts gestellte Executive Summary, welcher wichtige Angaben (z. B. Risikotragfähigkeit, VaR der Marktrisiken) komprimiert und grafisch aufbereitet darlegt. Die Deutsche Bank stellt eingangs lediglich in einer knappen Übersicht ihre wichtigsten Risikokennzahlen (z. B. interne Kapitaladäquanzquote oder Mindestliquiditätsquote) und deren Ergebnisse dar.

Das RMS wird von beiden Instituten sehr umfassend charakterisiert. Beide Institute richten ihr RMS nach dem Prinzip der drei Verteidigungslinien aus. Außerhalb der Darstellungen des allgemeinen RMS werden bei beiden Banken für jede wesentliche Risikoart Informationen zu Strategie und Organisation, Risikosteuerung, Quantifizierung und Überwachung preisgegeben. Damit wird der Forderung des DRS 20.181 nachgekommen. Risiken werden bei beiden Banken grundsätzlich nach Umsetzung von Risikobegrenzungsmaßnahmen (Nettobetrachtung) dargestellt.

Bei einem Vergleich der Risikoberichte der Kreditinstitute mit denen der anderen untersuchten Unternehmen wird schnell ersichtlich, dass diese sich sowohl formal als auch inhaltlich sehr stark unterscheiden. Insbesondere die Quantifizierung der wesentlichen Risiken wird von den Kreditinstituten fast ausnahmslos vorgenommen, wohingegen diese bei den untersuchten Nicht-Kreditinstituten überwiegend nur bei der Darstellung von Eintrittswahrscheinlichkeit und Ausmaß der Auswirkungen des jeweiligen Risikos angegeben wird. Informationen zu den finanzwirtschaftlichen Risiken, die von den Banken ausführlich im Konzernlagebericht beschrieben und quantifiziert werden, werden von den anderen Unternehmen vorwiegend mit Verweis auf den Anhang publiziert. Allerdings sollten Verweise auf andere Berichtsteile nach dem Grundsatz der Klarheit und Übersichtlichkeit des DRS 20 nur für Zusatzinformationen über die dargestellten Risiken sorgen.

III. Zusammenfassung

In dieser Studie wurde die externe Risikoberichterstattung nach § 315 HGB und dessen Konkretisierung durch den DRS 20 branchenübergreifend für ausgewählte Unternehmen des DAX 30 kritisch analysiert. Die Risikoberichterstattung im Konzernlagebericht erfüllt den Zweck, die zukünftige Entwicklung von Konzernen mit ihren wesentlichen Chancen und Risiken aus Sicht der Unternehmensleitung darzustellen. Sie stellt umfassende Anforderungen an die Rechnungslegung von berichtspflichtigen Unternehmen und soll den Berichtsadressaten einen detaillierten Überblick über die Risiko- und Chancensituation im Unternehmen verschaffen. Der Risikobericht ist generell der Bestandteil der (Konzern-)Lageberichterstattung, in dem die berichtspflichtigen Unternehmen die meisten Fehler bzw. Gesetzesverstöße begehen. Beim Vergleich der internen mit der externen Risikoberichterstattung durch die Deutsche Prüfstelle für Rechnungslegung wurden die tatsächlichen wesentlichen Unternehmensrisiken im Lagebericht oftmals nicht adäquat offengelegt.41 Ein zusätzliches Problem besteht darin, dass der nur bedingt verbindliche Charakter des DRS 20 den Unternehmen große Ermessensspielräume bei der Erstellung ihrer Risikoberichte einräumt. Da sich die einzelnen Risikoberichte der Unternehmen dadurch stark unterscheiden können, wird für den Berichtsadressaten die zwischenbetriebliche Vergleichbarkeit stark eingeschränkt. Es lässt sich vermuten, dass die gesetzlichen Anforderungen und die der Standardsetzer an diese Komponente der (Konzern-)Lageberichterstattung daher auch in Zukunft noch weiter steigen werden. Der Gesetzgeber sollte zusammen mit den Standardsetzern die Anforderungen an die Risikoberichterstattung konkretisieren und in dem Zusammenhang den Verpflichtungsgrad erhöhen. Eine besondere Stellung nimmt zudem der externe Abschlussprüfer bei der Prüfung des Konzernlageberichts ein, da dieser die Möglichkeit hat, die internen Unternehmensgegebenheiten mit den externen Veröffentlichungen zu vergleichen. Zudem bekundet der Abschlussprüfer im Bestätigungsvermerk, dass der Konzernlagebericht ein zutreffendes Bild von der Lage des Konzerns und von den bestehenden Chancen und Risiken vermittelt. Dadurch können die Authentizität und Glaubwürdigkeit der Angaben im Risikobericht gegenüber den Berichts-adressaten bekräftigt werden.42

Anmerkungen:

1 Vgl. Zoeger/Klaus, Die Offenlegung von Risiken – ein wesentlicher Baustein der Finanzmarktkommunikation, 2010, S. 1, abrufbar unter: https://www.kpmg.de/docs/Offenlegung_080310.pdf (Abruf: 21.03.2017).

2 Vgl. Deutsche Prüfstelle für Rechnungslegung, Prüfungsschwerpunkte 2014, 2013, S. 1, abrufbar unter: http://www.frep.info/docs/pressemitteilungen/2013/20131015_pm.pdf (Abruf: 21.03.2017).

3 Vgl. Kajüter/Nienhaus/Mohrschladt, Die Wirtschaftsprüfung 11/2015 S. 514.

4 Vgl. Coenenberg/Haller/Schultze, Jahresabschluss und Jahresabschlussanalyse: Betriebswirtschaftliche, handelsrechtliche, steuerrechtliche und internationale Grundlagen – HGB, IAS/IFRS, US-GAAP, DRS, 24. Aufl. 2016, S. 940 f.

5 Der Anstieg bei Daimler hängt vermutlich mit der Tatsache zusammen, dass die Chancen und Risiken im Jahr 2013 noch getrennt dargestellt worden sind.

6 Innerhalb des DRS 20 ist eine Differenzierung der Vorschriften für kapitalmarktorientierte und nicht kapitalmarktorientierte Unternehmen vorgesehen. Vorschriften, die von kapitalmarktorientierten Unternehmen anzuwenden sind, sind durch „K-Ziffern“ gekennzeichnet.

7 Vgl. Beyhs/Rahe/Schmidt/Dassler DRS 20 – Konzernlagebericht (Accounting Insights, KPMG), 2012, S. 26, abrufbar unter: https://www.kpmg.de/docs/Accounting_Insights_DRS20_sec.pdf (Abruf: 21.03.2017); Brühwiler in: Huth/Romeike (Hrsg.), Risikomanagement in der Logistik, 2016, S. 162. Dieses vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) entwickelte Rahmenkonzept entstand 1992 mit dem Ziel der Sicherstellung der internen Finanzkontrolle von Unternehmen und Organisationen und wurde 2002 weiterentwickelt, um eine verlässliche Finanzberichterstattung zu gewährleisten. Es stellt einen international anerkannten Standard für ein umfassendes unternehmensweites Risikomanagement dar.

8 Volkswagen AG, Geschäftsbericht 2015, 2016, S. 170, abrufbar unter:  http://www.volkswagenag.com/presence/investorrelation/publications/annual-reports/2016/volkswagen/deutsch/Y_2015_d.pdf (Abruf: 21.03.2017).

9 Daimler AG, Geschäftsbericht 2015, 2016, S. 138, abrufbar unter: https://www.daimler.com/dokumente/investoren/berichte/geschaeftsberichte/daimler/daimler-ir-geschaeftsbericht-2015.pdf (Abruf: 21.03.2017).

10 Beiersdorf AG, Geschäftsbericht 2015, 2016, S.40, abrufbar unter: http://www.geschaeftsbericht2015.beiersdorf.de/?download=true (Abruf: 21.03.2017).

11 Vgl. zur Erläuterung und Anwendung der Monte-Carlo-Simulation am Beispiel Littkemann/Reinbacher/Menne, Akademie 4/2014 S. 99 ff.; Littkemann/Reinbacher/Menne, Akademie 1/2015 S. 11 ff.

12 Vgl. Fink/Kajüter/Winkeljohann, Lageberichterstattung: HGB, DRS und IFRS practice statement management commentary, 2013, S. 191.

13 Vgl. Fink/Kajüter/Winkeljohann a.a.O. (Fn. 12), S. 192.

14 Vgl. Kajüter/Esser, IRZ 6/2007 S. 383.

15 Vgl. Withus, in Müller/Stute/Withus (Hrsg.), Handbuch Lagebericht: Kommentar von § 289 und § 315 HGB, DRS 20 und IFRS Management Commentary, 2013, S. 193.

16 Vgl. Marten/Quick/Ruhnke, Wirtschaftsprüfung: Grundlagen des betriebswirtschaftlichen Prüfungswesens nach nationalen und internationalen Normen, 5. Aufl. 2015, S. 658.

17 Vgl. Filipiuk, Transparenz der Risikoberichterstattung: Anforderungen und Umsetzung in der Unternehmenspraxis, 2008, S. 871.

18 Vgl. Kirchhoff/Hecht/Wilberg/Kurz, Studie „Prognoseberichterstattung und Prognosegenauigkeit im DAX 30“, 2016, S. 4, abrufbar unter: https://www.kirchhoff.de/fileadmin/20_Download/Studien/20160804_Studie_Prognoseberichte_final.pdf (Abruf: 21.03.2017).

19 Vgl. Kajüter/Esser, IRZ 6/2007 S. 383.

20 Vgl. Lenz/Diehm, KoR 2010 S. 390.

21 Vgl. Ewelt/Knauer/Sieweke, KoR 2009 S. 713.

22 Vgl. Eisenschmidt, KoR 2011 S. 212.

23 Vgl. Ruhwedel/Kellermann, in: Knoll/Degen, Praxis des Risikomanagements – Moderne Instrumente in der Unternehmenssteuerung, 2014, S. 147.

24 Vgl. Fink/Kajüter/Winkeljohann, a.a.O. (Fn. 12), S. 184.

25 Vgl. Büsselberg/Busetti/Kas/Alonso/Burot/Parretta, The role of Internal Audit under Solvency I, 2013, S. 15, abrufbar unter: http://www.diir.de/fileadmin/fachwissen/diir_veroeffentlichungen/ECIIA-Positionspapier_Solvency_II.pdf (Anruf: 21.03.2017). Mit dem Konzept der drei Verteidigungslinien (Three Lines of Defence-Modell) werden die Kontroll- und Überwachungselemente strukturiert. Die erste Verteidigungslinie bilden das operative Management und das Interne Kontrollsystem, gefolgt von der Compliance und dem Risikomanagement als zweiter und der internen Revision als dritter Verteidigungslinie.

26 Vgl. Withus, a.a.O. (Fn. 15), S. 216.

27 Vgl. Fink/Kajüter/Winkeljohann, a.a.O. (Fn. 12), S. 185.

28 Vgl. Müller/Juchler/Ergün, Zeitschrift für Corporate Governance 6/2012 S. 285.

29 Vgl. Müller/Juchler/Ergün, Zeitschrift für Corporate Governance 6/2012 S. 285.

30 Vgl. Kajüter/Nienhaus/Mohrschladt, Die Wirtschaftsprüfung 11/2015 S. 519.

31 Vgl. Lorson/Melcher/Müller/Velte/Wulf/Zündorf, Zeitschrift für Unternehmens- und Gesellschaftsrecht 2015 S. 910 f.

32 Vgl. Lackmann/Steinmeier/Stich, KoR 2014 S. 52.

33 Vgl. Müller/Juchler/Ergün, Zeitschrift für Corporate Governance 6/2012 S. 287.

34 Vgl. Lackmann/Steinmeier/Stich, KoR 2014 S. 50f.

35 Vgl. Schwartz, VW-Zulieferer-Streit: Autobauer sind zunehmend verwundbar, 2016, o. S., abrufbar unter http://www.n-tv.de/wirtschaft/Autobauer-sind-zunehmend-verwundbar-article18489311.html (Abruf: 21.03.2017).

36 Vgl. Ergün/Müller/Panzer, Die Wirtschaftsprüfung 12/2015 S. 601.

37 Vgl. Müller/Juchler/Ergün, Zeitschrift für Corporate Governance 6/2012 S. 286.

38 Vgl. Ergün/Müller/Panzer, Die Wirtschaftsprüfung 12/2015 S. 603.

39 Vgl. Berger/Gleißner, Zeitschrift für Corporate Governance 2/2007, S. 65.

40 Vgl. Eisenschmidt, KoR 2011 S. 209.

41 Vgl. Barth/Thormann, Der Betrieb 18/2015 S. 993 f.

42 Vgl. Weber/Menk, Zeitschrift für Bankrecht und Bankwirtschaft 6/2014 S. 419.

 

Autoren:

  • Prof. Dr. Jörn Littkemann

    Univ.-Prof. Dr. Jörn Littkemann ist Inhaber des Lehrstuhls für Betriebswirtschaftslehre, insbes. Unternehmensrechnung und Controlling an der FernUniversität in Hagen und Studienleiter der VWA Arnsberg. Foto: privat

  • Sonia Schwarzer

    M.Sc. Sonia Schwarzer ist wissenschaftliche Mitarbeiterin und Doktorandin am Lehrstuhl für BWL, insbes. Unternehmensrechnung und Controlling an der FernUniversität in Hagen. Foto: privat

  • Stefanie Schacht

    M.Sc. Stefanie Schacht ist Mitarbeiterin einer börsennotierten deutschen Bank. Foto: privat