Risikogerechte Entscheidung
Das Management von Kapitalgesellschaften haftet
Seit gut einem Jahr gilt der DIIR Revisionsstandard Nr. 2. Was sich trocken anhört, hat konkrete Auswirkungen für die Führungsebene mittelständischer Unternehmen. Denn Manager können für falsche Entscheidungen haftbar gemacht werden.
Disruptive Geschäftsmodelle, Digitalisierung und ein verschärfter Wettbewerb führen dazu, dass Unternehmen in einem zunehmend dynamischen Spannungsfeld agieren. Planungssicherheit gewinnt an Wert. Denn nur optimal von der Unternehmensplanung unterstützt können Manager die richtigen strategischen Entscheidungen treffen. Deshalb wird in § 93 Abs. 1 des Aktiengesetzes geregelt, dass das Management einer AG relevante Entscheidungen auf Grundlage einer umfassenden Unternehmensplanung zum Wohle des Unternehmens treffen muss. Der DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision e.V. wurde im November 2018 veröffentlicht und nimmt nun erstmals Bezug auf dieses Gesetz. Der Standard stellt klar, dass das Risikomanagement von diesem Gesetz direkt betroffen ist und dass es für Unternehmen zwingend erforderlich ist, Risikoanalysen in die Vorbereitung unternehmerischer Entscheidungen einzubeziehen. Dabei schließt der Revisionsstandard neben Aktiengesellschaften erstmals auch große Unternehmen ein. Damit sind Unternehmen gemeint, die mindestens zwei der folgenden Merkmale erfüllen: mindestens 20 Mio. € Bilanzsumme, mindestens 40 Mio. € Umsatzerlöse, 250 oder mehr Angestellte. Die neue Version des Revisionsstandards fokussiert sich klar auf die frühzeitige Erkennung bestandsgefährdender Risiken, die sowohl aus dem Gesamtrisikoumfang als auch aus einzelnen unternehmerischen Entscheidungen resultieren können. Als neuer Mindestprüfungsstandard ist eine frühzeitige Erkennung bestandsgefährdender Entwicklungen, die sich zumeist aus Kombinationseffekten mehrerer Einzelrisiken ergeben, definiert. Unternehmen sollen durch die Aggregation ihrer Einzelrisiken feststellen, ob ausreichend Eigenkapital (risikoadjustierter Eigenkapitalbedarf) für die Tragung des Gesamtrisikoumfangs zur Verfügung steht.
Entscheidungsvorbereitendes Risikomanagement
Der DIIR Revisionsstandard Nr. 2 fordert, dass bei der Vorbereitung wesentlicher unternehmerischer Entscheidungen aufgezeigt wird, inwiefern sich die strategische Entscheidung auf die Risikosituation eines Unternehmens auswirkt. Demnach müssen Unternehmen ein entscheidungsorientiertes Risikomanagement in die Organisation integrieren, das nachweisbar Risikoanalysen für wesentliche Entscheidungen heranzieht. Diese Anforderung soll gewährleisten, dass auch bei unternehmerischen Entscheidungen bestandsgefährdende Risiken frühzeitig erfasst werden. Daraus ergibt sich ein konkretes Haftungsrisiko für das Management: Werden bestandsgefährdende Entwicklungen nicht erkannt, kommen Manager der im neuen Revisionsstandard geforderten risikogerechten Entscheidungsfindung nicht nach. Und damit auch nicht ihrer unternehmerischen Sorgfaltspflicht. Denn die Sorgfaltspflicht des Managements nach § 93 AktG und § 43 GmbHG könnte durch fehlende Risikoanalysen bei unternehmerischen Entscheidungen nicht vollständig erfüllt sein, wenn strategische Entscheidungen ohne Berücksichtigung von adäquaten Risikoinformationen nicht vollumfänglich auf Grundlage angemessener Information getroffen werden. Die Manager sind unter Umständen in der Haftung – wenn sich ihre Entscheidungen als bestandsgefährdend herausstellen und man diesen Schaden mittels einer Risikoanalyse hätte vorhersehen können.
Ökonomischer Nutzen für das Management
Über die Haftungsfrage hinaus gibt es beim entscheidungsorientierten Risikomanagement aber einen weiteren wichtigen Punkt zu berücksichtigen und das ist der ökonomische Mehrwert: Zum einen können Unternehmer durch die Quantifizierung von Risiken feststellen, ob der mit dem Projekt verbundene Gesamtrisikoumfang vom Unternehmen getragen werden kann. Zum anderen kann geprüft werden, ob eine Investition ein günstiges Ertragsrisikoprofil (höherer Risikoumfang = höhere Rendite) aufweist. Zu den strategisch relevanten Entscheidungen, bei denen eine Aggregation von investitionsbezogenen Risiken sinnvoll ist, zählen z. B. größere Sachinvestitionen, Akquisitionen, Restrukturierungen, aber auch der Einkauf oder der Verzicht auf betriebliche Versicherungen. Beim betrieblichen Versicherungswesen gilt es vor allem, fundierte Entscheidungen über risikogerechte Höchstentschädigungsgrenzen und zur Eigentragung zu ermöglichen. Ebenso gilt es, den Verzicht auf bestimmte Versicherungslösungen unter Berücksichtigung der Risikotragfähigkeit des Unternehmens zu verifizieren. Ein aktuelles Beispiel hierzu ist sicherlich die Cyber-Versicherung. Verzichtet ein Unternehmen auf die Absicherung dieses mitunter kritischen Risikos, müssen im Schadenfall schlüssige Argumente für diese unternehmerische Entscheidung dokumentiert sein.
Lösungsansätze für Unternehmen
Eine mögliche betriebliche Umsetzung stellen risikoorientierte Entscheidungsvorlagen dar, die nicht nur Risikoanalysen beinhalten, sondern durch den Einsatz von Risikoaggregationsmodellen auch den notwendigen Eigenkapitalbedarf für das Unternehmen bzw. Projekte sowie Investitionen aufzeigen können. Mit RIMIKS X verfügt Funk über eine Softwarelösung für ein ganzheitliches praxisorientiertes Risikomanagementsystem, das es Unternehmen ermöglicht, sämtliche Anforderungen in diesem Zusammenhang zu erfüllen. Unternehmen können die gesamten Risikomanagementprozesse mehrstufig abbilden und das risikoadjustierte Eigenkapital für das gesamte Unternehmen, aber auch für einzelne Entscheidungen vollumfänglich und gesetzeskonform darstellen.
Hendrik Löffler ist Mitglied der Geschäftsleitung der Funk Gruppe, Geschäftsführer der FUNK Risk Consulting GmbH sowie Vorstandsvorsitzender der Funk Stiftung. Neben vertrieblichen Themen verantwortet er die Risikomanagementberatung incl. alternativer Risikofinanzierung und das Business Development von Funk.