Prof. Dr. Werner Gleißner
Bei einer nicht sicher vorhersehbaren Zukunft ist jedes Unternehmen Chancen und Gefahren (Risiken) ausgesetzt, die Planabweichungen auslösen können. Die Fähigkeit im Umgang mit diesen Risiken ist ein wichtiger Erfolgsfaktor von Unternehmen. Wegen des Kontroll- und Transparenzgesetzes (KonTraG) und seiner "Ausstrahlwirkung" auf mittelständische Unternehmen ist davon auszugehen, dass das Fehlen eines Risikomanagementsystems auch bei einer Kapitalgesellschaft persönliche Haftungsrisiken für Vorstände und Geschäftsführer mit sich bringen kann.
Zentraler Bestandteil des KonTraG und Katalysator für das Risikomanagement war und ist § 91 Abs. 2 AktG:
"Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand gefährdende Entwicklungen früh erkannt werden."
Bestandsgefährdende Entwicklungen sollen früh erkannt werden
In der Begründung des Deutschen Bundestags zum § 91 Abs. 2 AktG heißt es, dass die Verpflichtung des Vorstands durch das Gesetz besonders hervorgehoben werden soll. Diese Verpflichtung umfasst dabei die Einrichtung eines angemessenen Risikomanagements, einer angemessenen internen Revision bzw. internen Überwachung. Nach § 91 Abs. 2 AktG sollen somit bestandsgefährdende Entwicklungen früh erkannt werden. Eine Verletzung der Sorgfaltspflichten durch den Vorstand kann zum Schadenersatz führen, stellt also ein persönliches Haftungsrisiko dar.
Dabei ist interessant, dass das Gesetz Risikomanagement oder Risiken nicht direkt anspricht, sondern von bestandsgefährdenden Entwicklungen spricht. Als den Fortbestand gefährdende Entwicklungen werden in der Begründung genannt: Risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und sonstige Verstöße gegen gesetzliche Vorschriften, die sich auf die wirtschaftliche Lage der Gesellschaft wesentlich auswirken.
Zu beachten ist, dass es im Allgemeinen nicht Einzelrisiken sind, sondern Kombinationseffekte von Risiken, die bestandsgefährdende Entwicklungen im Sinne von § 91 Aktiengesetz auslösen. Infolgedessen ist zur Erfüllung der gesetzlichen Anforderungen eine Risikoaggregation erforderlich, die diese Kombinationseffekte auswertet. Eine Risikoaggregation zur Bestimmung des Gesamtrisikoumfangs (Eigenkapitalbedarf) ist entsprechend auch eine wesentliche Anforderung des IDW Prüfungsstandards 340 für Risikofrüherkennungssysteme.