a. Risikoidentifizierung
Ein Risikoüberwachungssystem wird nur dann den gesetzlichen Vorgaben des § 91 Abs. 2 AktG genügen können, wenn gewährleistet ist, dass auch die rechtlichen Risiken erkannt werden. Zu nennen ist dabei insbesondere die Gefahr, dass Geschäfte rechtlich nicht durchsetzbar oder vertraglich nicht korrekt dokumentiert sind, aber auch die Änderung gesetzlicher Vorschriften oder behördlicher Auflagen. Ferner ist zu prüfen, inwieweit Geschäfte nicht erlaubt sind bzw. unter Genehmigungsvorbehalt stehen.
Die rechtliche Risikoinventur hat der vollständigen Erfassung sämtlicher Rechtsrisiken zu dienen. Es handelt sich um eine reine Bestandsaufnahme, ohne dass bereits bestimmte Risiken vorab ausgenommen werden. Die Risikoinventur ist nicht an rechtlichen Parametern, also etwa gesetzlichen Vorgaben und vergleichbaren Anordnungen zu messen, sondern spielt sich auf der Tatsachenebene ab. Die erforderliche Strukturierung zur vollständigen Erfassung rechtlicher Risiken hängt von den Spezifika des Unternehmens ab. Eine Richtlinie, die auf jedes Unternehmen zur Anwendung kommen kann, gibt es nicht. Zu erfassen sind insbesondere - aber nicht ausschließlich - sämtliche gesellschaftsrechtlichen Maßnahmen, die das Unternehmen und ihre Beteiligungsgesellschaften betreffen sowie sämtliche Verträge des Unternehmens und ferner sämtliche Vorgänge und Zustände, die Einfluss auf den Fortbestand des Unternehmens haben können und damit das Unternehmen unmittelbar oder mittelbar betreffen können, so etwa auch umweltrelevante Risiken, die auch von einem weiter entfernten Nachbargrundstück ausgehen können.
Bei der rechtlichen Risikoinventur darf es in örtlicher, sachlicher und zeitlicher Hinsicht keine Grenzen geben, da anderenfalls der Sinn und Zweck der Bestandsaufnahme verfehlt wird. Eine Plausibilitätskontrolle, ob wirklich sämtliche Risiken bei der Risikoinventur erfasst sind, kann anhand vormaliger "Problemfälle" vorgenommen werden, mit denen das Unternehmen befasst war, ohne dass hier bereits eine Beschränkung auf die gerichtlichen oder außergerichtlichen Rechts Streitigkeiten erfolgt.
Erst in einem zweiten Schritt der rechtlichen Risikoinventur erfolgen eine Erfassung der einzelnen Risiken und eine Festlegung von Schwellenwerten, die die Wesentlichkeitsgrenze definieren. Auch hier ist Vorsicht geboten vor einer schematischen Festlegung von Schwellenwerten. Zum einen ist bei der Erfassung der Einzelrisiken zu berücksichtigen, dass sich Risiken wechselseitig beeinflussen können.
Verfehlt wäre es auch, auf dieser Stufe der Risikoinventur etwa Lieferverträge mit einem für das Unternehmen relativ geringen Volumen aus der Bestandsaufnahme herauszunehmen, da auch ein solcher Liefervertrag mit einem geringen Volumen unübersehbare Haftungsrisiken für das Unternehmen mit sich bringen kann. Bei der mehr sporadisch und nicht strukturell organisierten Risikoinventur einzelner Vorgänge wird in der Praxis häufig übersehen, dass auch auf den ersten Blick lediglich "unbedeutende" Vorgänge rechtliche Risiken und damit auch Unternehmenskrisen auslösen können.