Prof. Dr. Werner Gleißner
Ein Risiko ist die aus einer nicht sicher vorhersehbaren Zukunft resultierende Möglichkeit von Plan– bzw. Prognosewerten abzuweichen. Risiko ist damit der Überbegriff zu Chance (Möglichkeit einer positiven Abweichung) und Gefahr (Möglichkeit einer negativen Abweichung).
Risikomanagement umfasst alle Aktivitäten eines Unternehmens, die sich auf die Analyse und den Umgang mit Chancen und Gefahren beziehen.
1.1 Rechtliche Anforderungen im Aktiengesetz
Bei einer nicht sicher vorhersehbaren Zukunft ist jedes Unternehmen Chancen und Gefahren (Risiken) ausgesetzt, die Planabweichungen auslösen können. Die Fähigkeit im Umgang mit diesen Risiken ist ein wichtiger Erfolgsfaktor von Unternehmen. Wegen des Kontroll- und Transparenzgesetzes (KonTraG) und seiner "Ausstrahlwirkung" auf mittelständische Unternehmen ist davon auszugehen, dass das Fehlen eines Risikomanagementsystems auch bei einer Kapitalgesellschaft persönliche Haftungsrisiken für Vorstände und Geschäftsführer mit sich bringen kann.
Zentraler Bestandteil des KonTraG und Katalysator für das Risikomanagement war und ist § 91 Abs. 2 AktG:
"Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand gefährdende Entwicklungen früh erkannt werden."
Bestandsgefährdende Entwicklungen sollen früh erkannt werden
In der Begründung des Deutschen Bundestags zum § 91 Abs. 2 AktG heißt es, dass die Verpflichtung des Vorstands durch das Gesetz besonders hervorgehoben werden soll. Diese Verpflichtung umfasst dabei die Einrichtung eines angemessenen Risikomanagements, einer angemessenen internen Revision bzw. internen Überwachung. Nach § 91 Abs. 2 AktG sollen somit bestandsgefährdende Entwicklungen früh erkannt werden. Eine Verletzung der Sorgfaltspflichten durch den Vorstand kann zum Schadenersatz führen, stellt also ein persönliches Haftungsrisiko dar.
Dabei ist interessant, dass das Gesetz Risikomanagement oder Risiken nicht direkt anspricht, sondern von bestandsgefährdenden Entwicklungen spricht. Als den Fortbestand gefährdende Entwicklungen werden in der Begründung genannt: Risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und sonstige Verstöße gegen gesetzliche Vorschriften, die sich auf die wirtschaftliche Lage der Gesellschaft wesentlich auswirken.
Zu beachten ist, dass es im Allgemeinen nicht Einzelrisiken sind, sondern Kombinationseffekte von Risiken, die bestandsgefährdende Entwicklungen im Sinne von § 91 Aktiengesetz auslösen. Infolgedessen ist zur Erfüllung der gesetzlichen Anforderungen eine Risikoaggregation erforderlich, die diese Kombinationseffekte auswertet. Eine Risikoaggregation zur Bestimmung des Gesamtrisikoumfangs (Eigenkapitalbedarf) ist entsprechend auch eine wesentliche Anforderung des IDW Prüfungsstandards 340 für Risikofrüherkennungssysteme.
1.2 Persönliche Haftung bei Schadenersatzforderungen möglich
Vorstände von Aktiengesellschaften, die ihre Organisationspflicht in diesem Punkt ignorieren und gegen diese Vorschrift verstoßen, müssen mit Schadenersatzforderungen rechnen, die ihre private Vermögenssphäre betreffen (§ 93 Abs. 2 AktG). Im Klartext: Die Nichteinrichtung eines Risikofrüherkennungssystems kann für die Verantwortlichen zur persönlichen Haftung führen (Lorenz 2006).
Die durch § 93 AktG spezifizierte sog. "Business Judgement Rule" fordert vom Vorstand insbesondere, dass bei einer Entscheidung "angemessene Informationen" vorliegen müssen. Bei Entscheidungen unter Unsicherheit bedeutet dies insbesondere, dass schon vor der Entscheidung gezeigt werden muss, welche Veränderung des Risikoumfangs und des Ratings durch diese Entscheidung zu erwarten ist. Es sind also gerade die Risikoinformationen, die den wesentlichen Teil der vom Gesetz genannten "angemessenen Informationen" darstellen. Eine Risikoanalyse ist entsprechend entscheidungsvorbereitend erforderlich.
1.3 Anforderungen durch Kapitalgeber
Neben gesetzlichen Anforderungen ist es insbesondere der ökonomische Nutzen, der den Ausbau der Fähigkeiten im Umgang mit Chancen und Gefahren (Risiken) wichtig erscheinen lässt. So resultiert auch aus der veränderten Kreditvergabepraxis von Banken und Sparkassen infolge Basel II und Basel III das Erfordernis, sich konsequenter mit Risiken auseinander zu setzen. Die Wirkung eingetretener Risiken (z. B. des Verlusts eines Großkunden oder des unerwarteten Anstiegs von Materialkosten) zeigt sich nämlich im Jahresabschluss und den daraus abgeleiteten Finanzkennzahlen (z. B. Eigenkapitalquote oder Gesamtkapitalrendite). Da diese Finanzkennzahlen im Rahmen der üblichen Ratingverfahren den eingeräumten Kreditrahmen und die Zinskondition bestimmen, haben Risiken somit erhebliche Auswirkungen auf die Finanzierung eines Unternehmens. So kann durch eine zufällige Kombination mehrerer Risiken recht schnell eine Situation eintreten, in der die Finanzierung eines Unternehmens aufgrund eines unbefriedigenden Ratin...