Mit dem StaRUG (Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen) gibt es seit dem 1. Januar 2021 in Deutschland ein für Risikomanagement und Krisen- sowie Risikofrüherkennung wesentliche neue gesetzliche Grundlage. Im Kern präzisiert und erweitert das StaRUG die vorhandenen gesetzlichen Regelungen. Es betrifft neben Aktiengesellschaften ausdrücklich auch andere juristische Personen, insbesondere mittelständische GmbHs.
Die bisher vor allem für Aktiengesellschaften relevante Anforderung an Risikofrüherkennungssysteme, um bestandsgefährdende Risiken durch ein System zur Krisenfrüherkennung zu identifizieren und zu überwachen, wurde auch für alle anderen haftungsbeschränkenden Rechtsformen kodifiziert. Die rechtsformübergreifenden Regelungen des StaRUG betrifft damit Geschäftsleiter haftungsbeschränkter Unternehmen, also juristischer Personen, wie etwa einer GmbH oder AG bzw. über § 1 Abs. 2 StaRUG auch eine GmbH & Co. KG.
Mit den neuen Regelungen zum sogenannten Restrukturierungsplan sollen mehr Möglichkeiten für Unternehmen in einer Krise geschaffen werden, diese Krise auch ohne eine Insolvenz zu bewältigen. Der aus einem darstellenden und gestaltenden Teil bestehende Restrukturierungsplan erläutert neben den Krisenursachen insbesondere die zur Krisenbewältigung erforderlichen Maßnahmen (§ 6 StaRUG).
Viele Risikofrüherkennungssysteme in der Praxis nicht wirksam
Bereits basierend auf § 91 Abs. 2 AktG (resultierend aus dem Sammelgesetz KonTraG) sind Unternehmen bereits seit dem Jahr 1998 verpflichtet, ein Risikofrüherkennungssystem einzurichten. Ein Blick in die Praxis zeigt jedoch ein anderes Bild: Risikomanagement ist häufig eher vergleichbar mit einem "Potemkinschen Dorf". Bei einer oberflächlichen Analyse wirkt das Risikomanagement ausgearbeitet und beeindruckend, es fehlt aber an Substanz. Warum? Risikomanagement wird aus einer "Compliance"-Perspektive betrachtet, was vor allem dazu führt, dass Unmengen an Risiken dokumentiert und konserviert werden ("Risikobuchhaltung"). Was sehr häufig fehlt, ist eine Fokussierung auf die wesentlichen, so genannten bestandsgefährdenden Szenarien sowie ein Monitoring des "Gesundheitszustands" über geeignete Frühwarnindikatoren. Exakt die Frühwarnfunktion, die vom Gesetzgeber gefordert wird, fehlt.
Im Ergebnis führt dies dazu, dass eine Mehrzahl der eingeführten Risikomanagement-Systeme schlicht und einfach unwirksam sind und auf kritische Unternehmensentwicklungen nicht rechtzeitig hinweisen.
Hier hilft ein regelmäßiger Blick in die Risikoberichterstattung der Unternehmen, die entweder in ein Schieflage geraten sind oder die sich bereits in der Insolvenz befinden. So können wir im Risikobericht (siehe Geschäftsbericht zum 31.12.2018) der Wirecard AG 43-mal den Begriff Risikomanagement lesen. Bereits auf Seite 14 wird darauf hingewiesen, dass ein verantwortungsbewusstes Risikomanagement eine wichtige Grundlage guter Corporate Governance sei. Auch können wir dem Geschäftsbericht entnehmen, dass die Unternehmenssteuerung wertorientiert erfolgt (Seite 88) und dass das Risikomanagementsystem darauf ausgerichtet ist, kritische Entwicklungen frühzeitig zu identifizieren, zu analysieren und zu bewerten sowie zu dokumentieren. Auch leitet sich das Risikomanagement des Wirecard AG aus dem internationalen Standard ISO 31000:2018 ab (Seite 88). Auch das eingeführte Interne Kontrollsystem (IKS) orientiert sich – gemäß Geschäftsbericht – an den Anforderungen des COSO-Standards (Integrated Framework des Committee of Sponsoring Organizations of the Treadway Commission). Und selbstverständlich verfügte die Wirecard AG auch über ein System zur Wirksamkeitsüberwachung des gesamten Systems. Es sollte nicht unerwähnt bleiben, dass in dem testierten Geschäftsbericht selbstverständlich noch einmal abschließend darauf hingewiesen wird, dass das Risikofrüherkennungssystem keinerlei Risiken und Szenarien (Seite 110) aufzeigt, die den Bestand der Wirecard Gruppe gefährden könnten. Soweit die Fassade der Berichterstattung in Form des "Potemkinschen Dorfes".
Was muss die Geschäftsführung konkret tun?
Der Begriff der drohenden Zahlungsunfähigkeit wurde im StaRUG modifiziert. Von einer drohenden Zahlungsunfähigkeit wird (zumindest) ausgegangen, wenn die Durchfinanzierung des Unternehmens nicht mit überwiegender Wahrscheinlichkeit in den nächsten 24 Monaten gewährleistet ist. Zur Beurteilung der drohenden Zahlungsunfähigkeit ist damit eine integrierte Unternehmensplanung mit zugehöriger Liquiditätsprognose erforderlich. Bei dieser Unternehmensplanung sind dabei neben Investitionen (in Anlagevermögen und Working Capital) speziell auch auslaufende Darlehen (oder Anleihen) zu berücksichtigen. Es ist insbesondere das sich hieraus ergebende "Refinanzierungsrisiko" zu erfassen.
Die bereits bestehenden Anforderungen bezüglich Krisenfrüherkennung, Risikoanalyse und Risikoaggregation werden durch StaRUG nochmals unterstrichen.
Konkret sollten sich Unternehmen mit folgenden Themen beschäftigen:
- Einführung eines Risikofrüherkennungssystem, basierend auf einer methodisch fundierten Risikoanalyse und Risikoaggregation, um potenzielle "bestandsgefährdende Entwicklungen" frühzeitig zu erkennen. Neben einer klaren Fokussierung auf die wesentlichen existenzbedrohenden Risikoszenarien, müssen hierbei vor allem mögliche Kombinationseffekte von Einzelrisiken berücksichtigt werden (einfach formuliert: Unternehmen geraten in der Regel nicht durch den Eintritt eines einzelnen Risikos in eine Schieflage, sondern resultierend aus einer Kombination verschiedener Risikoszenarien, die gleichzeitig oder in einer Kettenreaktion eintreten).
- Abgleich der Ergebnisse der Risikoaggregation mit dem vorhandenen Risikodeckungspotenzial (sehr vereinfacht Eigenkapital und Liquiditätsausstattung) sowie Definition von Schwellenwerten, ab dem von einer akuten Krisenlage auszugehen ist, die Handlungen impliziert.
Benchmark des eigenen Risikofrüherkennungssystems
Ein Blick in die Praxis zeigt, dass viele Risikofrüherkennungssysteme nicht wirksam sind, da vor allem das Element der Frühwarnung fehlt. Stattdessen werden – resultierend aus einer Rückspiegelperspektive – Risikoszenarien aus der Vergangenheit dokumentiert. Doch Risiken entstehen – trivialerweise – in der Zukunft. Daher müssen sich Risikofrüherkennungssysteme auch auf ein "Lernen aus der Zukunft" konzentrieren. Es geht schlicht und einfach um die Frage: Welche zukünftigen Szenarien können zu einer existenzbedrohenden Krise führen? Welche Maßnahmen sollte ich umsetzen, damit diese Szenarien eben gerade nicht eintreten.
Parallel fordert auch der überarbeitete IDW Prüfungsstandard 340 ("Die Prüfung der Maßnahmen nach § 91 Abs. 2 AktG im Rahmen der Jahresabschlussprüfung gemäß § 317 Abs. 4 HGB") den Aufbau ein wirksames Risikofrüherkennungssystems. Dies bedingt eine Quantifizierung der Risiken, deren Aggregation zu einem Gesamtportfolio sowie der Abgleich mit dem vorhandenen Risikodeckungspotenzial.
Das Kompetenzportal RiskNET führt für eine Standortbestimmung eine Benchmark-Studie zum Thema Risikofrüherkennung durch. Die Studie ermöglicht eine Reifegradbestimmung des Risikomanagements und zeigt Unternehmen Ansätze zur Optimierung der Wirksamkeit von Risikomanagement-Systemen auf.
Unter allen Teilnehmern, die Ihre E-Mail-Adresse angeben, verlosen wir 10 Exemplare des folgenden Buches (erscheint voraussichtlich im September 2021):
Romeike, Frank / Stallinger, Manfred (2021): Stochastische Szenariosimulation in der Unternehmenspraxis - Risikomodellierung, Fallstudien, Umsetzung in R, Springer Verlag, Wiesbaden 2021, ISBN 978-3-658-34062-9.