Tax Compliance

b) Grundlagen und Prinzipien

48

Wie unter Rn. 31 ff. dargestellt, wird unter einem Risikomanagementsystem eine Reihe von Komponenten bezeichnet, welche die Grundlagen und die organisatorischen Regelungen für die Entwicklung, die Implementierung, die Überwachung und die Verbesserung des Risikomanagements organisationsübergreifend abbilden.[63]

49

Die Grundvoraussetzung für die Etablierung und Aufrechterhaltung eines effektiven Risikomanagements ist ein starkes und nachhaltiges Bekenntnis des Managements. Zu diesem Zweck sollte das Management die Grundsätze des Risikomanagements definieren, vorgeben und durchsetzen. Dabei sind die Grundsätze des Risikomanagements insbesondere an der Unternehmenskultur zu orientieren. Zudem sollten die Ziele des Risikomanagements auf die operativen Unternehmensziele und die Unternehmensstrategie abgestimmt sein. Als Rahmenbedingungen für ein wirksames Risikomanagement sind zudem Zuständigkeiten und Verantwortlichkeiten durch das Management zuzuweisen und ausreichend Ressourcen für das Risikomanagement bereitzustellen.[64]

50

Für die Entwicklung und Implementierung eines Risikomanagementsystems in einer Organisation ist es erforderlich, zunächst die externen und internen Rahmenbedingungen zu erheben und zu verstehen. Die Analyse der externen Rahmenbedingungen sollte insbesondere das soziale und kulturelle, politische, rechtliche und regulatorische, finanzielle, technologische und das ökonomische Umfeld berücksichtigen. Zudem sollten die wesentlichen Treiber und Entwicklungen mit Einfluss auf die Unternehmensziele sowie die Beziehungen mit externen Stakeholdern und deren Sichtweisen und Werte bedacht werden. Die Analyse der internen Rahmenbedingungen sollte insbesondere die Leitungsstruktur, die organisatorische Struktur inkl. Funktionen und Verantwortlichkeiten, die Grundsätze und Ziele der Organisation sowie die implementierten Strategien zur Zielerreichung, die Unternehmenskultur, vorhandene Ressourcen und Know-how sowie das vorhandene Informationssystem und die implementierten Entscheidungswege bzw. -prozesse berücksichtigen.[65]

51

Basierend auf den aus der Umfeldanalyse gewonnenen Erkenntnissen hat das Management die Richtlinie für das Risikomanagement zu erstellen. Diese sollte die Ziele des Unternehmens innerhalb des Risikomanagements und das Bekenntnis zum Risikomanagement klar und deutlich darlegen. Gegenstand der Richtlinie sollten u.a. die Gründe für die Einrichtung eines Risikomanagements, die Zusammenhänge zwischen den Unternehmenszielen und -richtlinien sowie der Richtlinie für das Risikomanagement, die Zuständigkeiten und Verantwortlichkeiten innerhalb des Risikomanagements, das Bekenntnis zur Bereitstellung der erforderlichen Ressourcen und zur kontinuierlichen Überprüfung und Verbesserung der Risikogrundsätze und des Risikomanagementsystems sowie die Art und Weise, wie die Leistung des Risikomanagements bewertet und darüber berichtet wird, sein.[66]

52

Für die wirksame Implementierung und Aufrechterhaltung des Risikomanagementsystems ist zudem bedeutend, dass entsprechende Verantwortlichkeiten vergeben werden und die Risikoeigner bzw. Risikomanager über angemessene Autorität und Kompetenzen verfügen. Damit kommt der Bestimmung der geeigneten Personen als Risikoeigner bzw. Risikomanager eine entscheidende Bedeutung zu. Aber auch die Zuweisung von weiteren Verantwortlichkeiten für den Risikomanagementprozess an Personen anderer Funktionen und Ebenen der Organisation sind für die Wirksamkeit und Wirtschaftlichkeit der Kontrollen bedeutend.[67] Des Weiteren ist es für die Gewährleistung der Wirksamkeit des Risikomanagements bedeutsam, dass das Risikomanagement in die betrieblichen Prozesse eingebettet wird. Nur wenn die Risikomanagementprozesse in die operativen Prozesse der Organisation integriert sind, können sie effektiv und effizient sein. Zudem sollte das Risikomanagement bei der operativen und strategischen Planung und im Change Management-Prozess berücksichtigt werden.[68] Ein weiterer Baustein für eine erfolgreiche Implementierung und Aufrechterhaltung des Risikomanagementsystems stellt die Bereitstellung angemessener Ressourcen dar. Besondere Bedeutung kommt dabei der Auswahl der mit dem Risikomanagement befassten Personen, insbesondere hinsichtlich Fähigkeiten, Erfahrung und Kompetenz zu. Zudem sollte sichergestellt werden, dass für jede Stufe des Risikomanagementprozesses ausreichend Ressourcen vorhanden sind.[69]

53

Die Etablierung von internen und externen Kommunikationswegen und Berichtsverfahren stellt ebenfalls eine wesentliche Komponente des Risikomanagementsystems dar. Die internen Kommunikationswege und Berichtsverfahren sollen zum einen dafür sorgen, dass die wesentlichen Komponenten des Risikomanagementsystems, sein Wirksamkeitsgrad und die sich aus dem System ergebenden Erkenntnisse angemessen kommuniziert werden. Zum anderen soll sichergestellt werden, dass für das Risikomanagement relevante Informationen auf einem angemessenen Niveau und zeitgerecht bereitstehen.[70] Die externen Kommunikationswege und Berichtsverfahren sollen zum einen für einen effektiven Informationsaustauch mit externen Stakeholdern, beispielsweise auch in Krisensituationen, sorgen. Zum anderen sollen sie die Einhaltung der rechtlichen, regulatorischen und Governance-spezifischen Anforderungen gewährleisten.[71] Dabei sollen die relevanten Informationen durch entsprechende Prozesse aus einer Vielzahl von Quellen unter Beachtung der Sensibilität der Informationen verdichtet werden.[72]

54

Um nach der Implementierung des Risikomanagementsystems seine fortwährende Wirksamkeit sicherzustellen, ist eine regelmäßige Überprüfung (Review) und Kontrolle (Monitoring) des Systems durchzuführen. Dies kann beispielsweise durch die regelmäßige Überprüfung von Risikokennzahlen sowie des Fortschritts oder der Abweichung von der Planung erfolgen. Daneben sollte überprüft werden, inwieweit die Grundsätze des Risikomanagements und die Risikomanagement-Richtlinie eingehalten werden.[73] Auf Basis dieser Überprüfungs- und Kontrollaktivitäten sollen Verbesserungsmaßnahmen hinsichtlich des Risikomanagementsystems, der Richtlinie und der Planung umgesetzt werden, um das Niveau des Risikomanagements und der Risikomanagementkultur der Organisation kontinuierlich zu erhöhen.[74]

c) Risikomanagementprozess

55

Die Hauptkomponente des Risikomanagementprozesses stellt die Risikobeurteilung dar, welche aus den Elementen Risikoidentifikation, Risikoanalyse und Risikobewertung besteht. Während der Risikostrategie im RMS eine übergeordnete Funktion zukommt, die im Wesentlichen die Aufgaben und Ziele des Risikomanagements festlegt, stellt der Risikomanagementprozess den operativen Teil des Risikomanagementsystems dar. Im Rahmen der Risikoidentifikation sollen Unternehmen Risikoquellen, deren Wirkungsbereich, potentielle Ereignisse und deren Ursachen und mögliche Auswirkungen ermitteln. Dabei sollte eine möglichst umfassende Liste von Risiken, die das Erreichen der festgelegten Ziele negativ beeinflussen können, erstellt werden. Die Vollständigkeit der Risikoliste ist von hoher Bedeutung, da nicht identifizierte Risiken im weiteren Risikomanagementprozess – insbesondere der Risikoanalyse – nicht weiter berücksichtigt werden können. Daher sind sämtliche potentiellen Risiken – ganz gleich ob der Ursprung im Einflussbereich des Unternehmens liegt – bei der Ermittlung zu berücksichtigen.[75]

56

Der Prozess der Risikoanalyse soll dazu dienen, ein Verständnis von den Risiken des Unternehmens zu erhalten. Die Risikoanalyse ist die Grundlage für die Risikobewertung und die daraus abzuleitende Risikosteuerung. Die Risikoanalyse umfasst die Betrachtung der Ursachen und Quellen von Risiken, ihre positiven und negativen Auswirkungen sowie der Wahrscheinlichkeit des Eintritts dieser Auswirkungen. Zudem sollten die Faktoren, welche die Auswirkungen und die Eintrittswahrscheinlichkeit beeinflussen, identifiziert werden. Bei der Bestimmung der Auswirkungen und der Eintrittswahrscheinlichkeit sind bestehende Kontrollen und deren Wirksamkeit zu berücksichtigen. Wirksame Kontrollen können sowohl die Auswirkungen als auch die Eintrittswahrscheinlichkeit von Risiken reduzieren. Aus der Kombination von Eintrittswahrscheinlichkeit und Auswirkung ergibt sich der Grad bzw. das Level eines jeweiligen Risikos. Dabei ist jedoch auch zu beachten, dass verschiedene Risiken miteinander zusammenhängen bzw. sich gegenseitig beeinflussen können. Zudem kann die Risikoanalyse durch getroffene Annahmen und die Unsicherheit, Verfügbarkeit, Qualität, den Umfang und die Bedeutung der zugrunde liegenden Informationen sowie von Beschränkungen bei der modellbasierten Ermittlung der Risiken beeinflusst werden. Die Risikoanalyse kann, je nach zugrunde liegendem Risiko, quantitativ, semi-quantitativ oder qualitativ erfolgen. Die Auswirkungen und die Eintrittswahrscheinlichkeit können beispielsweise durch die modellbasierte Erfassung verschiedener Szenarien eines Ereignisses bzw. einer Reihe von Ereignissen oder durch Extrapolation von experimentellen Untersuchungen oder verfügbaren Daten ermittelt werden. Dabei reicht jedoch eine wertmäßige Beschreibung des Risikos manchmal nicht aus, da Risiken auch qualitative Folgen haben können.[76] In der Praxis ist die Verwendung des Erwartungswerts und einer darauf basierten Risikomatrix häufig anzutreffen. Zudem werden auch Szenario-Analysen (z.B. worst case, mid case und best case) oftmals verwendet.

57

Basierend auf der Risikoanalyse wird im Rahmen der Risikobewertung festgelegt, für welche Risiken Maßnahmen zu ergreifen und wie die Prioritäten der verschiedenen Risikomaßnahmen sind. Für die Bestimmung der Priorität und der Art der Maßnahmen ist im Rahmen der Risikobewertung ein Vergleich zwischen den aus der Risikoanalyse resultierenden Ergebnissen und Risikoeinstufungen und den im Rahmen der Strategiesetzung festgelegten Risikokriterien bzw. der Risikoeinstellung des jeweiligen Unternehmens durchzuführen. Damit liefert die Risikobewertung die Entscheidungsgrundlage für die Risikosteuerung.[77]

58

Die wesentliche Aufgabe der Risikosteuerung ist es, eine oder mehrere Maßnahmen, die den Grad bzw. den Level der zu steuernden Risiken ändern können, festzulegen und zu implementieren. Die Risikosteuerung ist als periodischer Prozess zu verstehen, der zunächst die Festlegung und Beurteilung der Maßnahmen sowie des verbleibenden Risikolevels umfasst. Sofern der verbleibende Risikolevel angesichts der Risikoeinstellung nicht akzeptabel ist, ist eine neue Maßnahme zu entwickeln und zu implementieren. Die neue Maßnahme ist sodann ebenfalls einer Wirksamkeitsbeurteilung zu unterziehen. Als Maßnahmen kommt je nach Risiko und Risikoeinstellung eine Vielzahl von möglichen Handlungen in Betracht. Beispielsweise kann eine vollständige Risikovermeidung dadurch erreicht werden, dass die risikobehaftete Aktivität nicht weiter- bzw. durchgeführt wird. Eine Risikoreduzierung kann z.B. durch Maßnahmen zur Entfernung der Risikoquelle oder zur Veränderung der Eintrittswahrscheinlichkeit bzw. der Auswirkung, erzielt werden. Eine Risikoteilung kann durch Maßnahmen zur Einbeziehung weiterer Akteure, z.B. durch Verträge, umgesetzt werden. Daneben stellt zudem die Risikoakzeptanz eine Entscheidungsmöglichkeit für das Unternehmen dar, d.h. das Unternehmen verfolgt die risikobehaftete Aktivität weiter, ohne jegliche Risikosteuerungsmaßnahmen zu treffen.[78] Im Rahmen der Auswahl der Risikosteuerungsmaßnahmen sollte eine Abwägung der Kosten und des Arbeitsaufwands mit dem erzielbaren Nutzen der jeweiligen Maßnahme unter Berücksichtigung der gesetzlichen, regulatorischen und unternehmensinternen Anforderungen erfolgen. Die Auswahl sollte in einem Maßnahmenplan festgehalten werden, welcher klar die einzelnen Maßnahmen sowie deren Priorität festlegt. Zudem sollte der Maßnahmenplan weitere Informationen, wie z.B. die Gründe für die gewählten Maßnahmen (sowie der erwartete Nutzen), die Verantwortlichkeiten für die Umsetzung der Maßnahmen, die erforderlichen Ressourcen, messbare Leistungsindikatoren, Berichterstattungs- und Monitoringanforderungen sowie die Zeitplanung, beinhalten.[79]

59

Die Wirksamkeit und Wirtschaftlichkeit des Risikomanagementprozesses und der Risikosteuerung sollten einer Überwachung (Monitoring) und Überprüfung (Review) unterliegen, die in einem regelmäßigen Turnus oder einzelfallbezogen erfolgen können. Es ist erforderlich, dass die Verantwortlichkeiten für den Überwachungsprozess klar festgelegt sind. Die Ziele des Überwachungsprozesses sind insbesondere die Gewährleistung, dass sämtliche Kontrollen und Maßnahmen wirksam und leistungsfähig sind, Informationen zur Verbesserung des Risikomanagements erhalten werden (insbesondere aus Fehlern und negativen Ereignissen), Veränderungen der externen und internen Rahmenbedingungen sowie der Risikoeinstellung und des zugrunde liegenden Risikos erkannt sowie neu entstehende Risiken identifiziert werden. Um diese Ziele zu erreichen, sollte der Überwachungsprozess daher alle Aspekte des Risikomanagementprozesses bzw. des Risikomanagementsystems umfassen. Die Ergebnisse des Überwachungsprozesses sollten insbesondere in die interne Berichterstattung aufgenommen werden, damit diese dem Management als Informationen, insbesondere für den Verbesserungsprozess, vorliegen.[80] Daneben sollte eine angemessene Dokumentation des Risikomanagementprozesses vorgenommen werden, um die Durchführung von Risikomanagementaktivitäten nachweisen zu können.[81]

60

Wie vorstehend bereits dargestellt, sollten die Ergebnisse des Risikomanagementprozesses und der Risikoüberwachung in die Risikoberichterstattung eingehen, welche die Informationsbasis für die Anpassung oder Fortentwicklung der Unternehmens- und Risikostrategie darstellt. Zusammenfassend zeigt sich somit, dass das RMS ein geschlossener Kreislauf ist, welcher sich kontinuierlich fortentwickelt und auf die Bewältigung von Risiken auf Basis von Informationen und der Risikoneigung des jeweiligen Unternehmens abzielt.[82]

4. Fazit

61

Zusammenfassend kann festgehalten werden, dass das Risikomanagementsystem den Rahmen für die in die Unternehmensorganisation integrierten Prozesse zur Risikoerkennung, Risikobewertung und Risikobewältigung bildet und die Erreichung der definierten Unternehmensziele unterstützen soll.

IV. Risikofrüherkennungssystem (RFS)

1. Vorbemerkung und Begriffsbestimmung

62

Beim Risikofrüherkennungssystem handelt es sich aufgrund der Kodifizierung in § 91 Abs. 2 AktG um einen Pflichtbestandteil der Unternehmensorganisation von Aktiengesellschaften. Konkret wird in § 91 Abs. 2 AktG die Pflicht des Vorstands geregelt, geeignete Maßnahmen zu treffen, d.h. insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Basierend auf der allgemein anerkannten Ausstrahlungswirkung ist diese Verpflichtung auch dem Pflichtenkreis der Geschäftsführer von Gesellschaften anderer Rechtsform zuzurechnen.[83]

63

Während – wie in Rn. 31 ff. dargestellt – das Risikomanagementsystem „die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“[84] umfasst, stellt das Risikofrüherkennungssystem auf die Früherkennung bestandsgefährdender Entwicklungen ab und ist somit lediglich ein integrierter Teilaspekt des Risikomanagementsystems.[85]

64

Unter dem Begriff bestandsgefährdende Entwicklungen werden nachteilige Veränderungen von Risiken verstanden, die in der Lage sind, den Fortbestand des Unternehmens zu gefährden. Dabei handelt es sich nicht um statische Risikozustände, sondern um Negativentwicklungen. Demzufolge können als bestandsgefährdende Risiken z.B. risikobehaftete Geschäfte, Unrichtigkeiten in der Rechnungslegung oder Verstöße gegen gesetzliche Vorschriften angesehen werden, die eine wesentliche Auswirkung auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft haben können. Wesentliches Kriterium für die Kategorisierung als bestandsgefährdendes Risiko ist, dass dadurch insbesondere das Insolvenzrisiko der Gesellschaft erheblich gesteigert oder hervorgerufen wird.[86]

65

Wesentliche Aufgabe des Risikofrüherkennungssystems ist es, dem Vorstand bzw. der Geschäftsführung so frühzeitig Kenntnis über bestandsgefährdende Entwicklungen zu verschaffen, dass diese noch rechtzeitig Gegenmaßnahmen ergreifen können, um eine konkrete Bestandsgefährdung zu vermeiden.[87] Folgt man der herrschenden Meinung im juristischen Schrifttum, so ist aus § 91 Abs. 2 AktG keine Pflicht zur Einrichtung eines umfassenden Risikomanagements abzuleiten. Die Pflicht zum umfassenden Risikomanagement kann sich vielmehr aus den allgemeinen Sorgfaltspflichten eines Geschäftsleiters gem. § 93 Abs. 1 AktG und § 43 Abs. 1 GmbHG ergeben.[88] Dennoch sollte ein angemessenes Risikofrüherkennungssystem ein Mindestmaß an Maßnahmen aufweisen. Zu diesen Maßnahmen sind insbesondere die Festlegung der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können, die Risikoerkennung und Risikoanalyse, die Risikokommunikation, die Zuordnung von Verantwortlichkeiten und Aufgaben, die Einrichtung eines Überwachungssystems und die Dokumentation der getroffenen Maßnahmen zu zählen.[89] Die konkrete Ausgestaltung und der Detaillierungsgrad des RFS sollten jedoch individuell nach der Größe, Komplexität und Branchenzugehörigkeit des jeweiligen Unternehmens sowie nach der Frage, ob ein Kapitalmarktzugang besteht, ausgerichtet werden.[90]

2. Mindestanforderungen an ein Risikofrüherkennungssystem gem. IDW Prüfungsstandard 340

a) Hintergrund

66

Gem. § 317 Abs. 4 HGB hat der Abschlussprüfer im Rahmen der Abschlussprüfung börsennotierter Aktiengesellschaften zu beurteilen, ob der Vorstand die nach § 91 Abs. 2 AktG erforderlichen Maßnahmen zur Risikofrüherkennung in einer geeigneten Form getroffen hat und ob das einzurichtende Überwachungssystem seine Aufgaben erfüllen kann. Daher hat das Institut der Wirtschaftsprüfer im IDW PS 340[91] die Grundsätze für die Prüfung eines Risikofrüherkennungssystems geregelt und zudem die Mindestanforderungen an ein RFS dargestellt.

b) Elemente eines Risikofrüherkennungssystems

67

Wie in Rn. 62 ff. bereits aufgezählt, sollte ein angemessenes Risikofrüherkennungssystem als Mindestmaßnahmen die Festlegung der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können, die Risikoerkennung und Risikoanalyse, die Risikokommunikation, die Zuordnung von Verantwortlichkeiten und Aufgaben, die Einrichtung eines Überwachungssystems sowie die Dokumentation der getroffenen Maßnahmen umfassen. Unter der Maßnahme Festlegung der Risikofelder wird die Untersuchung sämtlicher betrieblicher Prozesse und Funktionsbereiche hinsichtlich Risiken, die nach Art und Umfang alleine oder im Zusammenwirken mit anderen Risiken den Bestand des Unternehmens gefährden können, verstanden. Als Ergebnis der Analyse sind die Unternehmensbereiche (betriebliche Funktionen oder Prozesse) abzugrenzen, aus denen bestandsgefährdende Risiken in besonderem Maße resultieren können, sowie eine Definition der bestandsgefährdenden Risiken bzw. Risikoarten vorzunehmen.[92]

68

Die Maßnahmen Risikoerkennung und Risikoanalyse basieren auf der Schaffung und Fortentwicklung eines angemessenen Risikobewusstseins aller Mitarbeiter. Dabei ist im Rahmen der Risikoerkennung die Identifizierung sowohl im Vorhinein definierter Risiken als auch nicht definierter Risiken und Auffälligkeiten erforderlich. Die sich an die Risikoerkennung anschließende Risikoanalyse umfasst die Einschätzung der Risiken hinsichtlich Eintrittswahrscheinlichkeit und quantitativer Auswirkung. Dabei ist die quantitative Auswirkung sowohl für das isolierte Risiko als auch in Zusammenwirkung mit anderen Risiken zu betrachten.[93]

69

Die Risikokommunikation umfasst die Berichterstattung über die nicht bewältigten Risiken. Um eine Fokussierung auf die bedeutenden, bestandsgefährdenden Risiken zu ermöglichen, sollten Schwellenwerte definiert werden, deren Überschreitung eine Berichtspflicht an den Vorstand bzw. die Geschäftsführung auslöst. Für die Risikokommunikation sollten Berichtsstrukturen, institutionalisierte Kommunikationswege (mit Festlegung der Berichtsempfänger) sowie die Periodizität der Kommunikation festgelegt werden. Die Festlegung von Regeln zur Ad-hoc-Berichterstattung sollte für den Fall von Eilbedürftigkeit sicherstellen, dass von den standardmäßigen Berichtsstrukturen abgewichen werden kann.[94]

70

Die Zuordnung von Verantwortlichkeiten und Aufgaben beinhaltet die Festlegung, wer im jeweiligen Unternehmensbereich für die Erfassung und Bewältigung bedeutsamer Risiken oder – im Falle der Nichtbewältigung – für die Weiterleitung von Informationen über bedeutsame Risiken zuständig ist. Ein Informationsaustausch über die erfassten Risiken ist dabei zwischen den jeweiligen Unternehmensbereichen erforderlich, um die Möglichkeit der Aggregation von Einzelrisiken, der wechselseitigen Verstärkung von Risiken zu einem bestandsgefährdenden Risiko oder der Kompensation von Risiken analysieren zu können. Zweckmäßigerweise sollte die Verantwortung für den Informationsaustausch den jeweils für die Unternehmensbereiche zuständigen Berichtsempfängern übertragen werden.[95]

71

Die Einrichtung eines Überwachungssystems ist erforderlich, um die Einhaltung der implementierten Maßnahmen zur Erfassung und Kommunikation bestandsgefährdender Risiken und deren Veränderung zu gewährleisten. Dabei sollten entsprechende Maßnahmen in die Abläufe integrierte Kontrollen, wie beispielsweise die Überwachung der Einhaltung der Meldegrenzen, die EDV-gestützte Kontrolle der Termintreue oder die Genehmigung und Kontrolle der Risikoberichterstattung, umfassen. Zudem sollten die Maßnahmen des RFS auch Gegenstand der Tätigkeit der Internen Revision sein. Dabei können z.B. die vollständige Erfassung aller Risikofelder des Unternehmens oder die kontinuierliche Anwendung der Maßnahmen der Prüfung durch die Interne Revision unterliegen.[96]

72

Die Dokumentation der getroffenen Maßnahmen soll primär der Sicherstellung der dauerhaften, personenunabhängigen Funktionsfähigkeit des Risikofrüherkennungssystems dienen. Daneben stellt die Dokumentation für den Vorstand einen Nachweis der Erfüllung seiner Pflichten nach § 91 Abs. 2 AktG dar. Als Dokumentation bietet sich insbesondere die Erstellung eines Risikohandbuches an, welches die organisatorischen Regelungen und Maßnahmen zur Einrichtung des Systems beinhalten sollte. Konkrete Themen des Risikohandbuches können insbesondere die Definition der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können, die Grundsätze für die Risikoerkennung, Risikoanalyse und Risikokommunikation, die Festlegung von Verantwortlichkeiten und Aufgaben für Risikoerkennung, Risikoanalyse und Risikokommunikation oder die Regelungen zur Berichterstattung über erkannte und nicht bewältigte Risiken an die zuständigen Stellen sowie zur Risikoverfolgung darstellen.[97]