Unsere Leistungen: Risikomanagement ISO 31000 – Risiken vorab bewerten – Schaden vermeiden

Unsere Leistungen: Risikomanagement ISO 31000 – Risiken vorab bewerten – Schaden vermeiden

Warum Risikomanagement?

Unternehmerisches Handeln ist mit Risiken verbunden. Organisationen aller Arten und Größen haben eine Reihe von Risiken, die die Erreichung ihrer Ziele beeinflussen.

Die Risiken für die Erreichung der Ziele können in verschiedenen Bereichen liegen: im strategischen Bereich, im operativen Bereich oder in der Organisation selbst ihren Ursprung haben.

Risiken müssen bei einer Reihe von Unternehmensaktivitäten bedacht werden. Risikobetrachtungen spielen eine wichtige Rolle bei der strategischen Planung für die weitere Entwicklung, bei Prozessen und Projekten, die durchgeführt werden, bei den Auswirkungen auf die Menschen, die Umwelt und die Natur, bei Sicherheitsbetrachtungen, bei Marktentwicklungen, bei Finanzentscheidungen, bei der Gestaltung und Sicherung eines guten Images etc.

Risiken müssen bei allen Handlungen in einer Organisation betrachtet werden.

Unternehmen sind anfällig

Die Erfordernisse und Notwendigkeiten, ein Risikomanagement im Unternehmen zu etablieren, sind vielseitig. Die hohe Anzahl an Insolvenzen wie auch gehäufte Firmenkrisen, Störfälle, Katastrophen, Unfälle und sonstige bedrohliche Situationen sind ein sicheres Indiz für die Anfälligkeit von Unternehmen. Unternehmerisches Handeln ist aber mit Risiken verbunden.

Probleme treten nur scheinbar plötzlich auf
Eines ist allen Fällen gemeinsam: Die Probleme traten, zumindest im Augenschein der Öffentlichkeit, plötzlich auf. In all diesen Fällen hatten die Kontroll- und Überwachungsinstrumente versagt, obwohl Jahresabschlüsse geprüft, Gesetze und Regeln eingehalten und Aussagen in Bezug auf die Zukunftsfähigkeit eines Unternehmens getroffen wurden.

Also stellen sich die Fragen:

  • Wie kann man mit Risiken umgehen?
  • Welche Risiken kann man und sollte man eingehen und welche Risiken sollte man besser nicht eingehen?

Schaden und Chance

Auch in der modernen Sprache findet man Begriffserklärungen zu Risiko, so ist der Ausspruch „no risk – no fun“ ein Hinweis auf die positive Interpretation des Risikobegriffs, der als Chance bezeichnet werden kann. Keineswegs sollte man also Risiko nur mit den negativen Attributen verbinden. Schaden und Chance liegen eng beieinander. Aus den genannten Versuchen, den Risikobegriff zu beschreiben, wird eines klar: Risiko hat viele Facetten.

Mathematisch lässt sich Risiko als Produkt von Eintrittswahrscheinlichkeit und Auswirkung verstehen. Dies ist die einfache Formel, die im Laufe dieser Betrachtungen immer wieder herangezogen werden wird.

ISO 31000

Im Rahmen der Norm ISO 31000 hat man den Begriff noch weiter definiert als „Auswirkung der Unsicherheit auf Ziele“.

Um den Begriff international zu vereinheitlichen und klar vom „Sprachmissbrauch“ anderer Branchen abzugrenzen, wurde mit der ISO 31000 „Risk management – Guidelines on principles“ eine Norm zum Risikomanagement entwickelt und es wurden mit ISO/IEC Guide 73 „Vocabulary“ die Begriffe im Risikomanagement definiert.

Diese beiden Dokumente bilden mitunter die wichtigsten Standards für Risikomanagement.

Gesetzliche Grundlage KonTraG

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, wurde am 5. März 1998 vom deutschen Bundestag verabschiedet und ist am 1. Mai 1998 in Kraft getreten, wodurch das Risikomanagement einen neuen Stellenwert in Deutschland erhalten hat.

In Deutschland wurde mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich erstmalig eine Gesetzesgrundlage geschaffen, die Unternehmen über die Bilanzierungsstandards hinaus verpflichtet, Vorsorge für die zukünftige Entwicklung des Unternehmens zu betreiben.

Rahmengesetz KonTraG

Das KonTraG gilt als ein Rahmengesetz, das verschiedene Gesetze ändert. Hauptsächlich betroffen vom KonTraG sind das Aktiengesetz (AktG) und das Handelsgesetzbuch (HGB).

Daneben sind eine Reihe weiterer Gesetze betroffen, darunter auch das Publizitätsgesetz, das Genossenschaftsgesetz, das Wertpapierhandelsgesetz, die Börsenzulassungsverordnung, die Wirtschaftsprüferordnung, das Gesetz über die Angelegenheiten der freiwilligen Gerichtsbarkeit, das Gesetz über Kapitalanlagegesellschaften, das GmbH-Gesetz, das Einführungsgesetz zum AktG und schließlich das Einführungsgesetz zum HGB.

Ziele des KonTraG

Wesentliche Ziele, die mit der neuen Gesetzesgrundlage verbunden wurden, sind nachfolgend aufgelistet:

  • Verbesserung der Arbeit des Aufsichtsrats
  • Erweiterung der Vorstandspflichten
  • Erhöhung der Transparenz im Unternehmen
  • Stärkung der Kontrolle durch die Hauptversammlung
  • Abbau von Stimmrechtsdifferenzierungen
  • Zulassung moderner Finanzierungs- und Vergütungsinstrumente
  • Verbesserung der Qualität der Abschlussprüfung und
  • die Verbesserung der Zusammenarbeit des Abschlussprüfers mit dem Aufsichtsrat

Auswirkungen des KonTraG

Des Weiteren stellt das KonTraG die Anforderung, ein Früherkennungs- und Überwachungssystem einzuführen. Gemäß § 91 Abs. 2 AktG haben die Vorstände geeignete Maßnahmen zu treffen, insbesondere ein internes Überwachungssystem einzurichten, um das Weiterbestehen des Unternehmens gefährdende Entwicklungen frühzeitig zu erkennen.

Die unternehmerische Freizügigkeit bleibt dabei durchaus erhalten, da das KonTraG keinesfalls das Eingehen von Risiken verbietet, sie sollen jedoch frühzeitig erkannt werden, damit Gegenmaßnahmen getroffen werden können.

Aus § 91 Abs. 2 AktG, der Begründung zu dieser Vorschrift und aus der allgemeinen Begründung des KonTraG kann man schließen, dass der Gesetzgeber die Errichtung eines internen Überwachungssystems, einer internen Revision, weiter ein (Risiko-)Controlling und darüber hinaus ein Frühwarnsystem unter Verantwortung der Unternehmensleitung fordert. Dies impliziert auch, dass die internen Ablaufprozesse und Organisationsstrukturen im Unternehmen auf Risiken geprüft werden müssen. Gemäß § 93 AktG hat der Vorstand im Falle einer Unternehmenskrise nachzuweisen und darzulegen, dass er alle Maßnahmen zur Risikofrüherkennung und -abwehr getroffen hat.

Zu den Anforderungen an ein Risikofrüherkennungs- und -überwachungssystem nach § 91 Abs. 2 AktG wurde beispielsweise vom Institut der Wirtschaftsprüfer (IDW) ein Fragenkatalog herausgegeben, der sich dieses Themas annimmt (beispielsweise IDW PS 340).

An dieser Stelle ist zu sagen, dass in diesem Punkt lediglich die wichtigsten Ziele des KonTraG dargestellt wurden.

Mit der Einführung des Gesetzes ergaben sich auch Veränderungen in den Bereichen, die stichwortartig aufgeführt sind:

  • Die Erweiterung der Berichtspflichten verpflichtet den Vorstand gemäß § 90 Abs. 1 Nr. 1 AktG, den Aufsichtsrat über die beabsichtigte Geschäftspolitik und andere grundsätzliche Fragen der Unternehmensplanung zu informieren
  • Beschränkung zulässiger Aufsichtsratsmandate auf zehn Mandate (§ 100 Abs. 2 Satz 3 AktG)
  • Erhöhung der Sitzungsfrequenz des Aufsichtsrats gemäß § 110 Abs. 3 AktG
  • Erteilen des Prüfungsauftrags durch den Aufsichtsrat gemäß § 111 Abs. 2 AktG und nicht mehr wie nach der alten Rechtslage durch den Vorstand
  • Allgemeine Stärkung des Aufsichtrats; jedem einzelnen Mitglied steht das Recht zu, neben dem Jahresabschluss, dem Lagebericht und dem Gewinnverwendungsvorschlag auch den Prüfungsbericht ausgehändigt zu bekommen (§ 170 Abs. 3 Satz 2 AktG)

Bilanzierungsrecht und Risikoberichterstattung

Auch auf europäischer Ebene hat es in den letzten Jahren Entwicklungen zum Risikomanagement gegeben. Auf Basis der EU-Modernisierungsrichtlinie wurden zum 1. Januar 2005 alle EU-Mitgliedsstaaten verpflichtet, eine Risikoberichterstattungspflicht in ihr nationales Bilanzrecht aufzunehmen. Damit wird die Risikoberichterstattungspflicht EU-weit gesetzlich geregelt.

Das Bilanzrechtsreformgesetz (BilReG) sieht in diesem Zusammenhang vor, im Lagebericht „die wesentlichen Ziele und Strategien […] zu beschreiben sowie die voraussichtliche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu erläutern“. Die Änderung soll für eine erhöhte Transparenz der Risikoberichte sorgen.

Deutscher Corporate Governance Kodex

Der Deutsche Corporate Governance Kodex stellt einen weiteren Baustein zur Entwicklung „guter Corporate Governance“ dar. Er fasst im Wesentlichen gesetzliche Vorschriften zur Unternehmensführung und Unternehmenskontrolle zusammen. Für nicht börsennotierte Gesellschaften wurde eine freiwillige Beachtung der Empfehlung vorgeschlagen. Dieser Kodex wurde im Februar 2002 von der „Regierungskommission Deutscher Corporate Governance Kodex“ vorgelegt. Auf Grundlage der eben erwähnten Kommission und der Kommission „Corporate Governance – Unternehmensführung – Unternehmenskontrolle – Modernisierung des Aktienrechts“ wurde das Transparenz- und Publizitätsgesetz (TransPuG) erarbeitet, das im Juli 2002 in Kraft trat.

Basel III und die Eigenkapitalvorschrift

Basel III ist die Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Die Regeln müssen gemäß den EU-Richtlinien 2006/48/EG und 2006/49/EG seit dem 1. Januar 2007 in den Mitgliedsstaaten der Europäischen Union für alle Kreditinstitute und Finanzdienstleistungsinstitute angewendet werden.

Sarbanes-Oxley Act

Auch in den USA ist das Risikomanagement mit dem Sarbanes-Oxley Act gesetzlich verankert. Dieser geht weit über die Forderungen des KonTraG und der sonstigen deutschen Regelungen hinaus. Bei unzutreffenden Angaben zur Vermögens-, Finanz- und Ertragslage kann es zu strafrechtlichen Maßnahmen für die Verantwortlichen kommen.

Tendenzen im Risikomanagement

Unternehmen wurden mit der Einführung des KonTraG, aber auch durch die veränderten unternehmerischen Rahmenbedingungen dazu veranlasst, ihre aufbau- und ablauforganisatorischen Strukturen des im Unternehmen vorhandenen Risikomanagements kritisch zu überprüfen und zu überdenken.

Dabei waren zunächst zwei Arten von Veränderungsprozessen festzustellen: Unternehmen, die ausschließlich am Testat der Wirtschaftsprüfer interessiert waren, aber ansonsten kaum oder gar kein Interesse am Risikomanagement zeigten, und Unternehmen, die das KonTraG als Katalysator nutzten, um bestehende Schwächen zu beseitigen

Aber auch die wachsende Diskussion um die Corporate Governance und zunehmende Bedeutung des Shareholder-Value-Gedankens sind in die kritische Auseinandersetzung des vorhandenen Risikomanagements mit einzubeziehen.

Kein umfassendes Risikomanagement

Mehr als zehn Jahre nach Inkrafttreten des KonTraG ist die Vermutung, dass viele Unternehmen keine leistungsfähige Risikomanagementstruktur besitzen, gerechtfertigt, wirft man einen Blick auf die noch immer sehr hohe Anzahl der Unternehmensinsolvenzen. Die Risikomanagementsysteme der Unternehmen beschränken sich meist nur auf bestimmte Anwendungsbereiche bzw. die Betrachtung von Einzelrisiken.

Bezüglich der Vorgehensweise, nach der das Risikomanagement ausgerichtet ist bzw. sein sollte, existiert keine einheitliche Linie, sprich der „rote Faden“ fehlt. Eine ganze Reihe Verbesserungspotenziale lassen sich daraus ableiten, obwohl die vorhandenen Systeme weitestgehend den gesetzlichen Anforderungen und den Anforderungen seitens der Wirtschaftsprüfer gerecht werden. Die bereits eingeführten Systeme können als Ausgangsplattform angesehen werden, auf denen, vor dem Hintergrund der Dynamik und Komplexität, aufgebaut werden kann.

Bedeutung von Risikomanagement ist bekannt

Hieraus wird deutlich, dass die Unternehmen zwar verstanden haben, wie wichtig ein funktionierendes Risikomanagement ist, jedoch wird es in der Praxis nur wenig gelebt. Die Erkenntnis, dass durch die Etablierung eines umfassenden Risikomanagements auch der Unternehmenserfolg positiv beeinflusst und maßgeblich gesteuert werden kann, muss jedoch noch reifen.

Standards fehlen

Es fehlen umfassende Konzepte und Standards, wie ein Risikomanagementsystem errichtet und erweitert werden kann. Zum Abschluss seien noch einige Empfehlungen für eine zielgerichtete Weiterentwicklung des Risikomanagements genannt:

  • Flexibilität: mangelnde Anpassung an sich verändernde Umweltbedingungen
  • Systematik: unzureichende Systematik und ungenügende hierarchieübergreifende aufbau- und ablauforganisatorische Integration
  • Unternehmenskultur: vernachlässigte Risikokultur und mangelndes Risikobewusstsein, fehlende Dokumentation, Kommunikation und IT-/DV-Unterstützung