Im Jahr 2021 sind bereits zwei Gesetze verabschiedet worden, deren Einfluss auf das Risikomanagement an dieser Stelle kurz zusammengefasst werden soll. So ist am 01. Januar 2021 das StaRUG (Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen) in Kraft getreten, am 01. Juli 2021 folgte dann das FISG (Gesetz zur Stärkung der Finanzmarktintegrität).
Das StaRUG spielt für die Risikofrüherkennung eine wesentliche Rolle. So sind gem. § 1 StaRUG alle juristischen Personen dazu verpflichtet, im Rahmen ihrer Krisenfrüherkennung, mögliche „bestandsgefährdenden Entwicklungen“ zu erkennen und „geeignete Gegenmaßnahmen“ zu ergreifen, sobald eine schwere Krise droht. Die Anforderungen an ein Risikofrüherkennungssystem wurden somit präzisiert und erweitert, allerdings werden hinsichtlich der konkreten Umsetzung keine weiteren Anforderungen gestellt. Auch wenn das StaRUG auf den ersten Blick „nur“ bereits vorhandene gesetzliche Reglungen erweitert und präzisiert, so ist hervorzuheben, dass dieses Gesetz neben Aktiengesellschaften nun auch ausdrücklich andere juristische Personen, insbesondere mittelständische GmbHs, betrifft
Wenngleich viele Unternehmen aufgrund zunehmender Anforderungen des Marktes und der Gesetzgeber in den letzten Jahren ein mehr oder weniger umfangreiches Risikomanagementsystem aufgebaut haben, so fehlt doch häufig die Konzentration auf die wesentlichen bestandsgefährdenden Risiken und deren Monitoring mit geeigneten Frühwarnindikatoren. Vielmehr konzentriert man sich im Rahmen einer Risikoinventarisierung häufig auf Risiken der Vergangenheit. Dies wiederum hat zur Folge, dass diese Risikomanagementsysteme oftmals unwirksam sind und kritische Unternehmensentwicklungen nicht (rechtzeitig) erkannt werden können.
Was bedeutet dies nun konkret für Unternehmen, für die Anpassungen bei ihrem Risikomanagementsystem erforderlich sind?
Das vom StaRUG geforderte Risikofrüherkennungssystem zielt darauf ab, zukünftige Risiken bereits heute zu erkennen und sich bei der Risikoanalyse die Frage zu stellen, ob diese in der Zukunft zu einer existenzbedrohenden Krise führen können. Als „bestandsgefährdend“ werden negative Entwicklungen bezeichnet, die sich wesentlich auf die Vermögens-, Ertrags- und / oder Finanzlage auswirken können. Betrachtet man Insolvenzursachen genauer, so stellt man fest, dass in der Regel die Kombination mehrerer Einzelrisiken zu der Insolvenz geführt haben. Somit rückt die Analyse von Abhängigkeiten und die Aggregation der Risiken zunehmend in den Fokus. Für die Umsetzung in die Praxis ist somit eine quantitative Risikoanalyse unabdingbar.
Um zu erkennen, ob aus diesen aggregierten Risiken eine bestandsgefährdende Entwicklung resultieren kann, sind die Risiken dem Risikodeckungspotenzial (=Eigenkapital plus Liquiditätsreserven) gegenüberzustellen. Existenzgefährdende Krisen resultieren aus einer Gefahr der Zahlungsunfähigkeit oder einer Überschuldung. Von einer drohenden Zahlungsunfähigkeit wird ausgegangen, wenn zu befürchten ist, dass die Durchfinanzierung des Unternehmens nicht gewährleistet ist (in der Regel wird hier ein Prognosezeitraum von 24 Monaten unterstellt, wobei der Zeitraum Einzelfallabhängig ist). Um eine drohende Zahlungsunfähigkeit rechtzeitig feststellen zu können, ist daher eine entsprechende Unternehmensplanung inklusive einer Liquiditätsprognose notwendig. Damit, wie von der Unternehmensführung gefordert, rechtzeitig geeignete Maßnahmen ergriffen werden können, ist die Wahrscheinlichkeit einer bestandsgefährdenden Entwicklung (Insolvenzwahrscheinlichkeit) einzuschätzen. Bei der Gegenüberstellung der aggregierten Risiken und des Risikodeckungspotentials muss ein Schwellenwert festgelegt werden, ab dem von einer akuten Bedrohung für den Fortbestand des Unternehmens auszugehen ist.
Dies impliziert auch, dass entsprechende Regelungen getroffen werden, wie auf eine drohende Krise zu reagieren ist. Wichtig ist, alle Schritte der Risikobewertung nachvollziehbar zu dokumentieren, wobei das Medium der Dokumentation frei wählbar ist. Hier sind Excel-Dateien genauso wie der Einsatz einer Software-Lösung denkbar.
Mit dem FISG kam eine weitere wesentliche Änderung hinzu, die aus Sicht des Risikomanagements positiv zu werten ist. Denn künftig muss ein Vorstand einer börsennotierten Gesellschaft sowohl ein Internes Kontrollsystem als auch ein Risikomanagementsystem einrichten (siehe § 91 Abs. 3 AktG n.F.). Der Vorstand hat hier weiterhin einen Ermessensspielraum hinsichtlich der Ausgestaltung der Systeme.
Insgesamt kann man sagen, dass durch die gesetzliche Verankerung die Bedeutung des Risikomanagements gesteigert worden ist. Für viele Unternehmen sollte daher die Beseitigung bestehender Defizite im Risikomanagement in den Vordergrund rücken. Die Geschäftsleitung muss mit dem vorhandenen Risikomanagementsystem in der Lage sein, sich ein umfassendes Bild über die Unternehmenslage und die potentielle Gefahr einer Krise zu machen. Hierbei ist zu berücksichtigen, dass es keine allgemein gültige Lösung für das „richtige“ Risikomanagementsystem eines Unternehmens gibt – vielmehr muss dies unternehmensindividuell aufgebaut werden. Unterstützend sollte sich die Geschäftsleitung an den Anforderungen des IDW PS 340 n.F. orientieren, da dies eine anerkannte Konkretisierung des Risikofrüherkennungssystems darstellt.
Autorin: Annette Anders, Risikomanagerin / Business Continuity Managerin, Verband der Vereine Creditreform e.V.