Risikoidentifizierung
Auf der ersten Stufe der Risikoidentifizierung ist die sogenannte Risikoinventur durchzuführen. Im Rahmen eines aktuellen Check-up werden alle Schadensgefahren und Verlustpotenziale des Unternehmens systematisch und kontinuierlich festgestellt, sowohl vor als auch nach Eintritt entsprechender Schäden und Verluste. Insoweit ist von einem weiten Risikobegriff auszugehen, der nicht nur den Eintritt von Schäden bzw. Nachteilen, sondern auch den Nichteintritt von positiven Entwicklungen bzw. eines Vorteils erfasst. Je nach Komplexitätsgrad und Struktur des operativen Geschäfts sowie der Größe des Unternehmens lauern daher Risiken unterschiedlichster Natur, wie z.B. Betrugsrisiken, Beschaffungsrisiken, Lagerrisiken, Produktionsrisiken, Absatzrisiken, Gewährleistungsrisiken, Währungsrisiken, Länderrisiken, EDV-Risiken, Umweltrisiken usw.
Risikoanalyse
Im Rahmen der Risikomessung und -bewertung geht es darum, die ursächlichen Strukturen und Interdependenzen der Gefahrenpotentiale transparent zu machen und ihre Wirkungen quantifiziert offen zu legen. Dafür wird v.a. das durch ein Risiko ausgelöste Gefährdungspotential hinsichtlich Vorhersehbarkeit, Schadenssumme und Eintrittshäufigkeit ermittelt. Hierzu stehen verschiedene Verfahren bereit, etwa Korrekturverfahren, Sensitivitätsanalysen, Risikoanalysen oder Risiko-Chancen-Kalküle.
c. Risikomanagement (im engeren Sinn)
Schließlich gilt es, erkannte Risiken durch geeignete Bewältigungsmaßnahmen, etwa die Risiko Verminderung, Risikoüberwälzung, Risikobewältigung und Risiko Vermeidung zu beeinflussen. Ziel muss es dabei sein, das Gesamtunternehmerrisiko in tragbarem und akzeptablem Rahmen zu halten und ein ausgewogenes Verhältnis zwischen Ertrag (Chance) und Risiko (Verlustgefahr) zu erreichen. Bestandteil des Risikomanagements ist schließlich die Risikoüberwachung, mit deren Hilfe die Wirksamkeit der Risikosteuerungsmaßnahmen kontrolliert und Risikoveränderungen erfasst und beurteilt werden.
3. Risikomanagement als Rechtsmanagement
Nachdem nun die allgemeinen Anforderungen und die wesentlichen Stufen eines Risikoüberwachungssystems aufgezeigt worden sind, stellt sich die Frage, inwieweit §91 Abs. 2 AktG die Berücksichtigung rechtlicher Gesichtspunkte verlangt, inwieweit also die Durchführung eines Rechtsmanagements als Bestandteil des Risikomanagements erforderlich ist. Dabei soll die oben unter 2. vorgenommene Untergliederung des Überwachungssystems beibehalten werden und für jeden Abschnitt die Frage nach der Relevanz des Rechtsmanagements beantwortet werden.