Prof. Dr. Werner Gleißner
Zusammenfassung
- Risikomanagement umfasst alle Aktivitäten eines Unternehmens, die sich auf die Analyse und den Umgang mit Chancen und Gefahren beziehen.
- Die wichtigsten Teilaufgaben des Risikomanagements sind die Identifikation, Quantifizierung, Aggregation, Überwachung und Bewältigung von Risiken.
- Von zentraler Bedeutung ist insbesondere die Risikoaggregation, d. h. die Bestimmung des Gesamtrisikoumfangs eines Unternehmens (mittels Monte-Carlo-Simulation). Nur so können Kombinationseffekte von Einzelrisiken ausgewertet werden, die zu "bestandsgefährdenden Entwicklungen" (Insolvenzen) führen, was § 91 Absatz 2 AktG als Mindestanforderung an ein Risikofrüherkennungssystem fordert.
- Durch die Analyse und Aggregation von Risiken soll insbesondere eine adäquate Informationsgrundlage für unternehmerische Entscheidungen bereitgestellt werden (z. B. für Investitionsentscheidungen oder die Initiierung von Risikobewältigungsmaßnahmen, wie Versicherungsschutz). Bei der Vorbereitung der Entscheidungen von Vorständen und Geschäftsführern sollen die Auswirkungen auf das Ertrag-Risiko-Profil des Unternehmens berechnet werden, um ein Abwägen erwarteter Erträge und Risiken zu gewährleisten (z. B. über die Berechnung risikoadäquater Kapitalkosten als Anforderung an die Erwartungsrendite).
- Risikomanagement zielt auf die Reduzierung von Risikokosten und insbesondere auf die Sicherung des Bestands des Unternehmens. Den jeweiligen "Grad der Bestandsbedrohung" kann man durch die Insolvenzwahrscheinlichkeit (also eine Rating-Note) ausdrücken.
1 Anforderungen, Aufgaben und Nutzen
Ein Risiko ist die aus einer nicht sicher vorhersehbaren Zukunft resultierende Möglichkeit von Plan– bzw. Prognosewerten abzuweichen. Risiko ist damit der Überbegriff zu Chance (Möglichkeit einer positiven Abweichung) und Gefahr (Möglichkeit einer negativen Abweichung).
Risikomanagement umfasst alle Aktivitäten eines Unternehmens, die sich auf die Analyse und den Umgang mit Chancen und Gefahren beziehen.
1.1 Rechtliche Anforderungen im Aktiengesetz
Bei einer nicht sicher vorhersehbaren Zukunft ist jedes Unternehmen Chancen und Gefahren (Risiken) ausgesetzt, die Planabweichungen auslösen können. Die Fähigkeit im Umgang mit diesen Risiken ist ein wichtiger Erfolgsfaktor von Unternehmen. Wegen des Kontroll- und Transparenzgesetzes (KonTraG) und seiner "Ausstrahlwirkung" auf mittelständische Unternehmen ist davon auszugehen, dass das Fehlen eines Risikomanagementsystems auch bei einer Kapitalgesellschaft persönliche Haftungsrisiken für Vorstände und Geschäftsführer mit sich bringen kann.
Zentraler Bestandteil des KonTraG und Katalysator für das Risikomanagement war und ist § 91 Abs. 2 AktG:
"Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand gefährdende Entwicklungen früh erkannt werden."
Bestandsgefährdende Entwicklungen sollen früh erkannt werden
In der Begründung des Deutschen Bundestags zum § 91 Abs. 2 AktG heißt es, dass die Verpflichtung des Vorstands durch das Gesetz besonders hervorgehoben werden soll. Diese Verpflichtung umfasst dabei die Einrichtung eines angemessenen Risikomanagements, einer angemessenen internen Revision bzw. internen Überwachung. Nach § 91 Abs. 2 AktG sollen somit bestandsgefährdende Entwicklungen früh erkannt werden. Eine Verletzung der Sorgfaltspflichten durch den Vorstand kann zum Schadenersatz führen, stellt also ein persönliches Haftungsrisiko dar.
Dabei ist interessant, dass das Gesetz Risikomanagement oder Risiken nicht direkt anspricht, sondern von bestandsgefährdenden Entwicklungen spricht. Als den Fortbestand gefährdende Entwicklungen werden in der Begründung genannt: Risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und sonstige Verstöße gegen gesetzliche Vorschriften, die sich auf die wirtschaftliche Lage der Gesellschaft wesentlich auswirken.
Zu beachten ist, dass es im Allgemeinen nicht Einzelrisiken sind, sondern Kombinationseffekte von Risiken, die bestandsgefährdende Entwicklungen im Sinne von § 91 Aktiengesetz auslösen. Infolgedessen ist zur Erfüllung der gesetzlichen Anforderungen eine Risikoaggregation erforderlich, die diese Kombinationseffekte auswertet. Eine Risikoaggregation zur Bestimmung des Gesamtrisikoumfangs (Eigenkapitalbedarf) ist entsprechend auch eine wesentliche Anforderung des IDW Prüfungsstandards 340 für Risikofrüherkennungssysteme.
1.2 Persönliche Haftung bei Schadenersatzforderungen möglich
Vorstände von Aktiengesellschaften, die ihre Organisationspflicht in diesem Punkt ignorieren und gegen diese Vorschrift verstoßen, müssen mit Schadenersatzforderungen rechnen, die ihre private Vermögenssphäre betreffen (§ 93 Abs. 2 AktG). Im Klartext: Die Nichteinrichtung eines Risikofrüherkennungssystems kann für die Verantwortlichen zur persönlichen Haftung führen (Lorenz 2006).
Die durch § 93 AktG spezifizierte sog. "Business Judgement Rule" fordert vom Vorstand insbesondere, dass bei einer Entscheidung...