Liebe Leserinnen und Leser,
die jüngsten – und in Zukunft drohenden – Krisen haben dazu geführt, dass das Ziel der Verbesserung von Resilienz und Robustheit der Unternehmen stärker als bisher deren Strategieentwicklung prägt. Klar ist, dass hier die Früherkennung und präventive Bewältigung volkswirtschaftlicher und strategischer Risiken eine große Bedeutung hat. Das strategische Risikomanagement ist an der Schnittstelle zwischen strategischem Management und Risikomanagement verortet und befasst sich genau mit der Verbesserung der Robustheit der Unternehmen. Passend ist nun, dass seit 2021 durch § 1 StaRUG auch der Gesetzgeber vom Risikomanagement erwartet, bei einer erkannten Bedrohungslage „geeignete Gegenmaßnahmen“ zu initiieren – Transparenz über den Risikoumfang reicht nicht aus. Leider ist der gebotene Ausbau der Fähigkeiten im Umgang mit Risiken oft noch nicht begonnen worden.
Ursächlich dafür ist auch, dass die durch § 1 StaRUG für alle Kapitalgesellschaften erhöhten Anforderungen an das Krisen- und Risikofrüherkennungssystem in der Jahresabschlussprüfung und dem IDW Prüfungsstandard 340 nicht berücksichtigt werden.
Das KonTraG (§ 91 Abs. 2 AktG) verlangt nur ein Risikofrüherkennungssystem. Nun fordert der Gesetzgeber mit § 1 StaRUG, dass bei Bedarf „geeignete Gegenmaßnahmen“ zu initiieren sind (z. B. zur Risikobewältigung). Entscheidungen über solche Maßnahmen sind „unternehmerische Entscheidungen“ im Sinne § 93 AktG und entsprechend vorzubereiten.
Es ergibt sich aus den Anforderungen auch, dass ergänzend zur Risikoanalyse und Risikoaggregation ein Risikotragfähigkeitskonzept zu implementieren ist. Dieses misst durch geeignete Kennzahlen, wie speziell der „Gefährdungswahrscheinlichkeit“, den „Grad der Bestandsgefährdung“. Das Überwachungsgremium hat festzulegen, ab welchem Grad der Bestandsgefährdung die im Gesetz gebotenen „geeigneten Gegenmaßnahmen“ und die Information des Überwachungsgremiums selbst erfolgen sollen. Mit dem § 1 StaRUG wird somit nun auch das Überwachungsgremium, z.B. der Aufsichtsrat, explizit gefordert.
Auch der Hinweis auf die Notwendigkeit der „fortlaufenden“ Überwachung in § 1 StaRUG findet sich so im älteren KonTraG nicht.
Zwischenfazit: Eine Prüfung des Risikomanagements nach IDW PS 340 greift deutlich zu kurz. Eine „bestandene“ Prüfung durch den Abschlussprüfer sagt keinesfalls, dass alle gesetzlichen Anforderungen an das Risikomanagement erfüllt sind. Bedauerlicherweise berücksichtigen auch viele Unternehmen die Anforderungen aus § 1 StaRUG nur unzureichend.
Dies ist nicht nur potenziell ein Haftungsrisiko für die Geschäftsleitung, sondern auch eine Beeinträchtigung der Zukunftsfähigkeit und der Überlebenswahrscheinlichkeit des Unternehmens. Wissenschaftliche Studien zeigen klar, was für die Zukunftsfähigkeit wichtig ist und wie man sie konkret messen kann.
Hohe Zukunftsfähigkeit bedeutet, dass das Unternehmen als ein „robustes Unternehmen“ angesehen werden kann (und einen hohen „Qscore“ als Maß der Zukunftsfähigkeit aufweist). Ein solches robustes Unternehmen ist charakterisiert durch finanzielle Nachhaltigkeit, eine robuste Strategie mit resilienter Leistungserstellung und gute Fähigkeiten im Umgang mit Unsicherheit. Und genau diese Fähigkeiten sollen durch ein leistungsfähiges Risikomanagement erreicht werden. Notwendig ist es, neue Risiken rechtzeitig zu erkennen, um darauf reagieren zu können, und bei anstehenden unternehmerischen Entscheidungen die mit diesen verbundenen Risiken zu berücksichtigen (z. B. bei Investitionsentscheidungen).
Fazit: Ein robustes Unternehmen setzt ein leistungsfähiges Risikomanagement voraus. Die neuen gesetzlichen Mindestanforderungen durch § 1 StaRUG bieten einen zusätzlichen Anlass, sich mit dem Ausbau des Risikomanagements zu beschäftigen.
Ihr Prof. Dr. Werner Gleißner