IDW ES 16

Krisenfrüherkennung und Krisenmanagement nach § 1 StaRUG


IDW ES 16: Krisenfrüherkennung und Krisenmanagement nach § 1 StaRUG Kolumne

Mit dem Entwurf des IDW-Standard ES 16 wird seitens des "Instituts der Wirtschaftsprüfer" eine Auslegung der gesetzlichen Anforderungen aus § 1 StaRUG (Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen) präsentiert. Ziel dieses Standards ist es, Geschäftsleitern haftungsbeschränkter Unternehmensträger eine praxisorientierte und rechtlich belastbare Hilfestellung zu bieten, um frühzeitig bestandsgefährdende Entwicklungen zu erkennen und geeignete Gegenmaßnahmen zu ergreifen. Der Standard ist insbesondere auch für Risikomanager und Finanzverantwortliche in Unternehmen von hoher Relevanz.

Die zentralen Anforderungen aus § 1 StaRUG sind die folgenden: 

  • Eine "fortlaufende" Überwachung, um bestandbedrohende Entwicklungen zu erkennen;
  • bei Bedarf die Initiierung "geeigneter Gegenmaßnahmen" und zudem
  • eine Information des Überwachungsgremiums (Aufsichtsrat) .

Die Vorschrift gilt für juristische Personen und haftungsbeschränkte Personengesellschaften gleichermaßen. In Textziffer 2 führt der IDW ES 16 aus: "Hiermit sind alle haftungsbeschränkten Rechtsträger erfasst – neben haftungsbeschränkten Unternehmen z.B. auch Stiftungen, juristische Personen des öffentlichen Rechts und Idealvereine." Das Ziel der gesetzlichen Regelung ist es, präventive Krisenerkennung und ein effizientes Krisenmanagement in die Unternehmensführung zu integrieren. Diese Verpflichtung stellt eine allgemeine, rechtsformübergreifende Governance-Anforderung dar.

Kontinuierliches und fortlaufendes Monitoring von bestandsbedrohenden Risikoszenarien

§ 1 StaRUG verpflichtet Geschäftsleiter von haftungsbeschränkten Unternehmen dazu, die wirtschaftliche Entwicklung ihres Unternehmens kontinuierlich und fortlaufend zu überwachen, um Risiken für den Fortbestand rechtzeitig zu erkennen und darauf zu reagieren. Empirische Untersuchungen haben hingegen gezeigt, dass in vielen Risikomanagementsystemen Aktualisierungen von Risikoanalysen und Risikoaggregationsrechnungen nur in unvertretbar großen zeitlichen Abständen stattfanden (beispielsweise nur einmal im Jahr). Die Periodizität der "fortlaufenden" Überwachung ist selbstverständlich vor allem abhängig von der Volatilität der exogenen Einflüsse und auch von der Branche und dem Geschäftsmodell. Unabhängig von einem festen zeitlichen Rhythmus (etwa einmal im Quartal) ist eine Aktualisierung auch dann geboten, wenn sich Risiken von bedeutender Relevanz massiv erhöhen. Im Zeitalter von Polykrisen (siehe die aktuellen Turbulenzen zu Zöllen und Handelsrestriktionen) dürfte daher eine Periodizität von "einmal im Halbjahr" oder "einmal im Quartal" nicht angemessen sein. Vielmehr ist die Krisenfrüherkennung als organrechtliche Dauerpflicht zu verstehen. Der IDW ES 16 enthält eine kompakte Grafik des fortlaufenden Prozesses der Krisenfrüherkennung.

Was bedeutet das für die Unternehmenspraxis? 

Für die Praxis bedeutet dies, dass Unternehmen – unabhängig von Größe und Branche – Prozesse etablieren müssen, die eine lückenlose Beobachtung der wirtschaftlichen Lage gewährleisten. Der Standard differenziert hierbei je nach Komplexitätsgrad des Unternehmens, ohne jedoch kleinere Einheiten vollständig zu entlasten. Auch für KMU bestehen klare Anforderungen, die gegebenenfalls mit vereinfachten Mitteln erfüllt werden können.

Die Anforderungen des IDW ES 16 sind daher skalierbar: Je kleiner und weniger komplex ein Unternehmen, desto einfacher darf der Planungs- und Überwachungsprozess ausgestaltet sein. Doch ein Mindestmaß an Struktur und Transparenz ist in jedem Fall notwendig. Für kleine Unternehmen kann eine vereinfachte Liquiditätsplanung ausreichen – allerdings nur, solange keine fortgeschrittene Krise vorliegt.

Übrigens bieten hier Methoden aus Data Analytics und Artificial Intelligence (AI) wertvolle Werkzeuge zur Krisen- und Risikofrüherkennung.

Was sind fortbestandsgefährdende Entwicklungen?

Der IDW ES 16 beschreibt detailliert, was unter fortbestandsgefährdenden Entwicklungen zu verstehen ist. Diese umfassen finanzwirtschaftliche, betriebliche oder regulatorische Risiken, deren Einzel- oder Kumulativwirkung zu einer Insolvenzreife führen könnten. Die Herausforderung für Risikomanager besteht darin, solche Entwicklungen möglichst frühzeitig zu identifizieren, beispielsweise durch interne Frühwarnsysteme oder strukturierte, antizipierende Risikoanalysen. Viele klassische Dokumentationssysteme im Risikomanagement ("Risikobuchhaltungssysteme") erfüllen diese Anforderungen regelmäßig nicht, da sie sich zu wenig oder garnicht mit "zukünftigen Risikoszenarien" beschäftigen. Doch insbesondere bei der Krisen- und Risikofrüherkennung geht es um eine "Lernen aus der Zukunft".

Gemäß IDW ES 16 sind Entwicklungen fortbestandsgefährdend, wenn sie ohne Gegenmaßnahmen zu wesentlichen nachteiligen Veränderungen der Vermögens-, Finanz- und Ertragslage der Gesellschaft führen und diese Entwicklungen zur Begründung oder zu einer erheblichen Erhöhung des Insolvenzrisikos (Vorliegen von Insolvenzeröffnungsgründen gemäß §§ 17 ff. InsO) führen können. Der IDW-Entwurf ergänzt: "Fortbestandsgefährdende Entwicklungen können in allen der Insolvenzreife vorgelagerten Krisenstadien (Stakeholder-, Strategie-, Produkt- und Erfolgskrise) und somit auch deutlich vor dem Eintritt einer Liquiditätskrise und dem Bestehen von Insolvenzeröffnungsgründen eintreten."

Die Unternehmensplanung als Herz der Krisenfrüherkennung

Risiken sind die aus der Unvorhersehbarkeit der Zukunft resultierenden, durch "zufällige" Störungen verursachten Möglichkeiten, von geplanten Ziel- oder Planwerten abzuweichen. Risiken können daher auch als "Streuung" um einen Erwartungs- oder Zielwert betrachtet werden. Daher können Risiken immer nur in direktem Zusammenhang mit der Planung einer Organisation interpretiert werden. Mögliche Abweichungen von den geplanten Zielen stellen Risiken dar - und zwar sowohl negative ("Downside risk") wie auch positive Abweichungen ("Upside Risk").

Daher ist es wenig erstaunlich, dass im IDW-Entwurf die Unternehmensplanung als Herz der Krisenfrüherkennung definiert wird. Sie bildet auch die Grundlage für die Risikoaggregation und Bewertung. Neben einer plausiblen und ex-ante begründeten Planung wird auch die Ableitung geeigneter Maßnahmen als Teil der unternehmerischen Verantwortung betont. Der Standard empfiehlt Planungszeiträume von mindestens 12 Monaten, häufig aber auch 24 Monate oder mehr, je nach Geschäftsmodell.

Für Konzernstrukturen betont der Standard die Notwendigkeit, auch gruppenweite wirtschaftliche Abhängigkeiten in die Risikoanalyse einzubeziehen. Cash-Pooling, interne Lieferverflechtungen und Haftungsübernahmen müssen in der Planung reflektiert werden.

Wenn Risiken eintreten, ist ein strukturiertes Krisenmanagement notwendig

Um die fortgeschrittene Krise zu überwinden, müssen die Geschäftsleiter Maßnahmen identifizieren, wie sie ausgehend vom Status quo wieder ein tragfähiges Geschäftsmodell erreichen können. Konkret müssen sie folgende Kernanforderungen erfüllen:

  • Analyse der wirtschaftlichen und rechtlichen Ausgangslage des Unternehmens in seinem Umfeld, einschließlich der Vermögens-, Finanz- und Ertragslage
  • Analyse von Krisenstadium und -ursachen sowie Analyse, ob eine Insolvenzgefährdung vorliegt
  • Entwicklung eines Leitbilds mit dem Geschäftsmodell des sanierten Unternehmens
  • Identifikation von Maßnahmen zur Abwendung einer Insolvenzgefahr und Bewältigung der Unternehmenskrise sowie zur Herstellung des Leitbilds des sanierten Unternehmens
  • Erstellung eines integrierten Unternehmensplans, um festzustellen, ob die Maßnahmen ausreichen, um die Krise zu überwinden.

Bei den skizzierten Anforderungen handelt es sich um die Kernbestandteile eines Sanierungskonzeptes nach IDW S 6, so der IDW-Entwurf. In Textziffer 58 wird weiter ausgeführt: "Auch wenn für das Krisenmanagement nach § 1 StaRUG auch im Falle einer fortgeschrittenen Krise die Anforderungen an die Form und Dokumentation von Sanierungskonzepten nicht zwingend einzuhalten sind, handelt es sich bei den Kernanforderungen des IDW S 6 letztlich um ‚einleuchtende Vernunftserwägungen, die bei jeder geplanten Sanierung angestellt werden müssen‘".

Ohne Risikoaggregation können keine potenziellen Krisenszenarien erkannt werden

Unternehmen geraten in eine bestandsbedrohende Entwicklung, weil deren Risikodeckungspotenzial nicht mehr ausreicht. Bei einem unbegrenzten Risikodeckungspotenzial gäbe es keine bestandsbedrohenden Entwicklungen. Daher verlangt auch der IDW-Prüfungsstandard 340 verpflichtend ein Risikotragfähigkeitskonzept. 

Unter Risikotragfähigkeit versteht man allgemein den maximal möglichen Verlust, der gerade noch durch die verfügbaren Liquiditätsreserven eines Unternehmens abgedeckt werden kann. Die Risikotragfähigkeit resultiert aus dem Vergleich des Risikodeckungspotenzials mit den aggregierten Risiken. Bestandsgefährdende Entwicklungen resultieren regelmäßig allem auch aus dem Zusammenwirken mehrerer Risiken. Aus einer isolierten Analyse von Einzelrisiken kann niemals eine fundierte Aussage über die Bestandsbedrohung erfolgen. Daher ist zwingend eine Aggregation relevanter Risiken erforderlich, um zu beurteilen, ob eine bestandsgefährdende Entwicklung vorliegt. Neben einer wechselseitigen Verstärkung von Risiken zu bestandsgefährdenden Risikoszenarien können Diversifikationseffekte auch zu einer Reduktion im Risikoportfolio führen.

Da nur quantifizierte Risiken auch aggregiert werden können, ist das Gebot der Quantifizierung sämtlicher Risiken nur konsequent. Daher fordert der IDW ES 16: "Risiken sind systematisch zu aggregieren und Interdependenzen müssen analysiert und berücksichtigt werden." Indirekt fordert der IDW-Entwurf auch eine Bandbreitenplanung, d.h. die Verwendung stochastischer Methoden: "Exakte Punktwerte z.B. bei den Eintrittswahrscheinlichkeiten führen oftmals zu einer Scheingenauigkeit, die zu falschen Entscheidungen führen können."

Methodisch erfordert die Aggregation von Risiken zwingend (!) den Einsatz von stochastischen Methoden, weil Risiken – anders als Kosten und Umsätze – nicht addierbar sind. Diese stochastischen Simulationsverfahren sind übrigens auch eine wesentliche Grundlage von AI-Methoden und eine Weiterentwicklung der klassischen Szenario-Analyse. Auch der Revisionsstandard Nr. 2 "Prüfung des Risikomanagementsystems durch die Interne Revision" des Deutsches Institut für Interne Revision e.V. (DIIR) hat die Relevanz der Risikoaggregation zur Bestimmung des Gesamtrisikoumfangs hervorgehoben. Dort ist in den Textziffern 23 und 24 zu lesen: 

"Risikoaggregation ist die Methode zur Bestimmung des Gesamtrisikoumfangs, der sich aus quantifizierten Einzelrisiken unter Beachtung möglicher Kombinationseffekte und stochastischer Abhängigkeiten (wie Korrelationen) ergibt. Im Risikomanagement ist die Risikoaggregation der Risikoanalyse nachgelagert und erforderlich, um mögliche bestandsgefährdende Entwicklungen gemäß § 91 (2) AktG und § 1 StaRUG zu erkennen. […] Die Risikoaggregation erlaubt die Berechnung von Kennzahlen für den Gesamtrisikoumfang (Value-at-Risk oder Eigenkapitalbedarf) und daraus ableitbare Größen (wie Insolvenzwahrscheinlichkeit oder risikogerechte Kapitalkosten). Einzelrisiken sind nicht einfach addierbar. Insbesondere durch die Monte-Carlo-Simulation, aber auch durch gleichwertige stochastische Methoden, ist es möglich, unterschiedliche Risikotypen (beschrieben durch unterschiedliche Wahrscheinlichkeitsverteilungen) zu aggregieren. […]"

Risikoaggregation nach dem Stand von Wissenschaft und Praxis

Der Entwurf des IDW ES 16 führt in Textziffer 22 aus: "Bei der Einschätzung, ob eine fortbestandsgefährdende Entwicklung vorliegt, wird daher i.d.R. eine Aggregation der identifizierten Entwicklungen und Risiken notwendig sein." Mit den drei Buchstaben "i.d.R." definiert der Standard – völlig unnötig – einen "Notausgang" und suggeriert, das bestandsbedrohende Entwicklungen auch ohne eine Risikoaggregation systematisch erkannt werden können. In Textziffer 46 wird folgendes ausgeführt: "Eine Vorgabe von Kennzahlen z.B. zur Ermittlung des Grades der Bestandsgefährdung ist ebenso wenig erforderlich wie die Anwendung spezieller Verfahren (z.B. Monte-Carlo-Simulation) zu deren Ermittlung." 

Juristisch ist hierbei anzumerken, dass eine Anwendung nicht-angemessener Methoden einen Verstoß gegen die Business Judgment Rule darstellen würde (sprich: persönliche Haftung der Geschäftsleiter). Und es wäre auch ein Verstoß gegen den anerkannten Stand von Wissenschaft und Praxis, wie ein Entscheidungsprozess abzulaufen hat. Und damit würde der Geschäftsführer oder Vorstand gegen § 92 Abs. 1 S. 1 AktG verstoßen, indem er nicht wie ein ordentlicher und gewissenhafter Geschäftsleiter agieren würde. 

Der "Anerkannte Stand von Wissenschaft und Praxis" spiegelt die herrschende Meinung in Wissenschaft und Lehre und bei den einschlägigen Praktikern, also die sogenannten "Allgemein anerkannten Regeln der Technik" wider. Es ist Stand von Wissenschaft und Praxis, das stochastische Methoden eine Aggregation von Risikoportfolios ermöglichen und hierbei auch seltene, aber existenzbedrohende Risiken in die Analyse einbezogen werden können. 

Im Unterschied zu statischen Schätzverfahren erlaubt beispielsweise die Monte-Carlo-Simulation eine differenzierte Betrachtung der Wahrscheinlichkeitsverteilungen einzelner Risiken und ihrer Aggregation unter Berücksichtigung von Zufall und Streuung. In Verbindung mit Kennzahlen wie dem Value at Risk (VaR) oder dem Expected Shortfall (ES) lassen sich so Aussagen über das potenzielle Gesamtschadensausmaß auf einem definierten Konfidenzniveau treffen – eine Anforderung, die in regulatorischen Rahmenwerken (beispielsweise Solvency II, Basel III) ebenso verankert ist wie in Standards zum Risikomanagement (beispielsweise im DIIR Revisionsstandard Nr. 2). 

Ergänzend ermöglichen die Methoden aus der Welt der Stochastik die Simulation von Extremereignissen (idiosynkratisch oder makroökonomisch). Copula-Modelle bieten statistische Verfahren zur Abbildung von Abhängigkeiten zwischen Risiken. Compound-Verteilungen ermöglichen Kombination aus Häufigkeitsverteilung (zum Beispiel Poisson, Bernoulli) und Schadensverteilung (zum Beispiel PERT, Lognormal, Gamma).

Tatsache ist hingegen, dass bestandsbedrohende Entwicklungen in jedem Fall nicht mit Hilfe qualitativer Aussagen getroffen werden können. Was wäre eine Aussage wert, die zu dem folgenden Ergebnis kommt? "Das Risikodeckungspotenzial – gemessen in Form freier Liquidität, beträgt 150 Mio. EUR. Das aggregierte Risiko ist "mittel" bis "hoch"!" 
Eine derartige Aussage genügt nicht den Anforderungen an ein wirksames Risikomanagement und bietet keine fundierte Entscheidungs- oder Prüfungsgrundlage. Und wäre wohl auch ein Verstoß gegen die Business Judgment Rule (mit allen Konsequenzen). Für belastbare Aussagen sind quantitative Methoden, Transparenz in den Annahmen und eine transparente, nachvollziehbare und methodisch fundierte Risikobewertung erforderlich.

Fazit und Ausblick

Der IDW ES 16 operationalisiert die Anforderungen aus § 1 StaRUG und schafft Klarheit für die unternehmerische Praxis. Für Risikomanager und Finanzverantwortliche ergibt sich daraus die klare Handlungsempfehlung, die eigene Krisenfrüherkennung systematisch zu überprüfen und gegebenenfalls methodisch weiterzuentwickeln. 

Risikomanager sollten verstehen, dass ein wirksames Risikomanagement und Risikofrüherkennungssystem einen seriösen Umgang mit Unsicherheit bedingt. Und die Welt der Stochastik und Probabilistik führt zu mehr Kompetenz im Umgang mit Unsicherheit und hilft uns die Welt, in der wir leben, einzuordnen und zu bewerten! Die Alternative zum stochastischen Denken wäre die Schaffung und Erfindung von uns gerade genehmen alternativen Fakten, d.h. eine Anmaßung von Wissen, über welches wir nicht verfügen.
 

[ Bildquelle Titelbild: Generiert mit AI ]
Themengebiete
In Verbindung stehende Artikel
Was bedeutet "fortlaufende" Überwachung einer möglichen Bestandsgefährdung?Was bedeutet "fortlaufende" Überwachung einer möglichen Bestandsgefährdung?
Risikoaggregation wird zur PflichtRisikoaggregation wird zur Pflicht
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
schließen