Spielregeln für Manager und Kontrolleure

Die Fähigkeit, Chancen und Gefahren (Risiken) adäquat abzuwägen, ist ein zentraler Erfolgsfaktor des unternehmerischen Erfolgs. Der Erfolg eines Unternehmens hängt wesentlich von der Qualität der Entscheidungen der Unternehmensführung ab. In diesem Kontext zählt Risikomanagement zu den originären Leitungsaufgaben eines jeden Geschäftsleiters und ist fester Bestandteil einer guten "Corporate Governance".

Jede  fundierte Vorbereitung unternehmerischer Entscheidungen erfordert ein Abwägen erwarteter Erträge und Chancen ("upside risk") mit den damit verbundenen Risiken ("downside risk"). Die Aufgabe des Risikomanagements besteht dabei zunächst in einer adäquaten Risikoidentifikation, -bewertung und -aggregation als notwendige Voraussetzung für eine Optimierung der Risikobewältigung und die Bereitstellung adäquater Informationen für fundierte Entscheidungen der Unternehmensführung.

Es ist eine triviale Erkenntnis, dass Unternehmen Risiken eingehen müssen, um Werte zu schaffen. Der Erfolg eines Unternehmens ist jedoch maßgeblich davon abhängig, dass die "richtigen" Risiken ("upside risks") eingegangen werden. Risiken zu managen heißt auch, die richtigen Strategien zu entwickeln und entsprechend effektive und effiziente Geschäftsprozesse als Teil einer "guten" Corporate Governance zu definieren.


Was können Risikomanager von Schiffsbauern lernen?

Jeder Kapitän weiß, dass Schiffe insbesondere für die Tage gebaut werden, an denen Stürme toben und riesige Wellen ein Schiff wie ein Spielzeug hin und her schleudern. Die dominante  Strategie muss also sein: Sie sollen jeden nur denkbaren Sturm überleben. Gleichzeitig ist es jedoch auch notwendig, sich damit auseinander zu setzen, wie die Steuerung (Geschäftsprozesse) des Schiffes auch in stürmischen Zeiten organisiert sein muss, damit das Schiff funktionsfähig bleibt.

Außerdem muss deutlich gemacht werden, dass mit Hilfe von "unternehmerischer Intuition" und "Bauchgefühl" sowie reaktiven Steuerungssystemen es für Unternehmen immer schwieriger wird, die Komplexität der Risikolandkarte zu erfassen und zu analysieren. Die Fähigkeit, Risiken zu beherrschen und in der unternehmerische Entscheidung adäquat zu berücksichtigen, zählt zu den wesentlichen Kompetenzen nachhaltig erfolgreicher Unternehmer und ist fester Bestandteil einer "guten Unternehmensführung" (Corporate Governance).


Risikomanagement als originäre Leitungsaufgabe

Im angelsächsischen Raum wurden recht früh interne Überwachungssysteme in den Pflichtenrahmen für die Unternehmensführung und -berichterstattung aufgenommen. Hintergrund hierfür ist vor allem, dass in den angelsächsischen Ländern der anonyme Kapitalmarkt eine größere Rolle spielt als in vielen anderen Ländern. Der Kapitalmarkt hat in diesem Kontext ein hohes Interesse an einer adäquaten Transparenz über zukünftige Chancen und Risiken sowie die Qualität der "Corporate Governance". 

Mit den Empfehlungen des "Committee of Sponsoring Organizations of the Treadway Commission" (COSO Report 1992) und den Empfehlungen des Cadbury Committee in Großbritannien (Cadbury Report 1992) wurde ein Konzept zur Risikosteuerung und -kontrolle vorgestellt. Gemäß den COSO-Empfehlungen basiert "Internal Control" auf fünf miteinander verknüpften Komponenten: Steuerungsumfeld, Risikoabschätzung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung. Der Risikomanagement-Ansatz des COSO war die erste umfassende und integrierte Methode, die neben allen Geschäftsprozessen und den Unternehmenszielen einen proaktiven Risikoanalyse und -steuerungsprozess berücksichtigte. 


Unternehmensverfassung als Basis

"Corporate Governance" kann allgemein auch mit "Unternehmensverfassung" oder "Unternehmensführung" übersetzt werden. Die "Organisation für wirtschaftliche Zusammenarbeit und Entwicklung" (Organisation for Economic Co-operation and Development, OECD) versteht unter Corporate Governance die "Wechselbeziehungen zwischen allen unmittelbar und mittelbar durch die institutionellen Entscheidungsfindung beteiligten Akteuren … [die] durch die institutionellen Rahmenbedingungen sowie durch das Regulierungsumfeld geprägt  [werden]" bzw. als "Struktur von Beziehungen und entsprechenden Verantwortlichkeiten in einer aus Aktionären, Board-Mitgliedern und Managern bestehenden Kerngruppe zur bestmöglichen Förderung der nötigen Wettbewerbsleistungen, um das Hauptziel eines jeden Unternehmens verwirklichen zu können", welches in der Erwirtschaftung langfristiger Erträge zu sehen ist. 

In Deutschland, in Österreich und der Schweiz verfolgte die Diskussion um Corporate Governance vor allem zwei Ziele:

  • Definition eines Verhaltensrahmens im Sinne eines "Code of Best Practice" für die Leitungsorgane, insbesondere in Bezug auf das Zusammenwirken von Leitungs- und Überwachungsorgan in einer Aktiengesellschaft.
  • Die Attraktivität der Standorte Deutschland, Österreich und Schweiz für nationale und internationale Investoren zu erhöhen. Dies sollte beispielsweise in Deutschland durch eine höhere Transparenz des dualistischen Systems der Unternehmensverfassung erreicht werden. Damit soll allgemein das Vertrauen der internationalen und nationalen Anleger, der Kunden, der Mitarbeiter sowie der Öffentlichkeit in die Leitung und Überwachung der Unternehmen gefördert werden.

Viele Elemente der Corporate Governance waren in Deutschland auch in der Vergangenheit bereits gesetzlich kodifiziert. In unterschiedlichen Gesetzen des Handels- und Gesellschaftsrechts sowie des Kapitalmarktrechts finden sich rechtliche Parameter. Bereits vor dem Inkrafttreten des "Gesetztes zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) gehörte es zu den Aufgaben des Vorstands (vgl. § 76 Abs. 1 AktG), für die Einrichtung eines Kontroll- und Risikomanagement-Systems zu sorgen und Entwicklungen, die den Fortbestand der Gesellschaft gefährden könnten, zu erkennen sowie die entsprechenden organisatorischen Maßnahmen zu treffen. So befinden sich etwa im AktG, HGB, WpHG, BörsG, MitbestG, Montan-MitbestG 1951 sowie dem BetrVG Elemente guter Corporate Governance. Der "Deutsche Corporate Governance Kodex" (DCGK) fasst daher im Wesentlichen gesetzliche Vorschriften zur Unternehmensführung und Unternehmenskontrolle börsennotierter Gesellschaften zusammen. Ziel des Gesetzgebers war es vor allem, die Unternehmensleitung zu sensibilisieren, um Chancen offensiv, aber kontrolliert wahrzunehmen. 

Risikomanagement als Pflicht

§ 91 Absatz 2 AktG (resultierend aus dem Artikelgesetz KonTraG) legt fest, dass der Vorstand geeignete Maßnahmen zu treffen hat, insbesondere ein Überwachungssystem einzurichten hat, damit den Fortbestand des Unternehmens gefährdende Entwicklungen früh erkannt werden:

"Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden."

Bereits in der Gesetzesbegründung wird darauf hingewiesen, dass mit dieser Vorschrift keine neue Leitungsaufgabe für den Vorstand geschaffen worden ist, sondern lediglich eine Aufgabe besonders hervorgehoben werden sollte [vgl. Romeike 2008, S. 6 sowie BT-Drucksache 13/9712, S. 15]. 

Zum § 91 Absatz 2 AktG hat der Gesetzgeber keine Entsprechung im GmbH- oder Personengesellschaftsrecht geschaffen. Allerdings wird in der Gesetzesbegründung ausdrücklich auf eine "Ausstrahlungswirkung" auf andere Gesellschaftsformen hingewiesen. Die Intensität dieser Ausstrahlungswirkung ist allerdings von der Größe und der Komplexität der jeweiligen Unternehmensstruktur abhängig. Im Gesetzeswortlaut wird der Begriff "Risiken" nicht verwendet. Vielmehr wird von "den Fortbestand der Gesellschaft gefährdende Entwicklungen" gesprochen. Nach Einschätzung des Gesetzgebers gehören zu den Entwicklungen, die den Fortbestand der Gesellschaft gefährden können, insbesondere risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft oder des Konzerns wesentlich auswirken. 

Ergänzend fordert § 93 Absatz 1 AktG eine gebotene Sorgfalt bei der Geschäftsführung, hierzu gehört auch die Bewertung und Steuerung von Risiken, die den Fortbestand der Gesellschaft gefährden könnten. Eine ähnliche Regelung findet sich in § 347 Absatz 1 HGB ("Wer aus einem Geschäft, das auf seiner Seite ein Handelsgeschäft ist, einem anderen zur Sorgfalt verpflichtet ist, hat für die Sorgfalt eines ordentlichen Kaufmanns einzustehen").

Neben branchenspezifischen Gesetzen (Versicherungsaufsichtsgesetz, Kreditwesengesetz etc.) fordert auch der Deutsche Corporate Governance Kodex (DCGK) die Einrichtung eines Risikomanagements. Er enthält eine Reihe von Regelungen, die sich mit dem Risikomanagement befassen. 

Risikomanagement ist eine Führungsaufgabe und darf weder vom Vorstand einer Aktiengesellschaften (börsennotiert oder nicht börsennotiert) noch von den entsprechenden Organen anderer Unternehmensformen vernachlässigt werden.


Prüfkriterien der "Business Judgement Rule"

Eine Geschäftsleitung, die die Einführung eines umfassenden und präventiven Risikomanagements unterlässt, und dennoch für sich in Anspruch nimmt, ordentlich und gewissenhaft im Sinne des § 93 Absatz 1 Satz 1 AktG zu handeln, sieht sich bei der Realisierung eines Risikos hinsichtlich seines Unterlassens einem hohen Rechtfertigungsdruck sowie einer potenziellen persönlichen Haftung ausgesetzt [vgl. Lorenz 2008, S. 27].

Zur Beurteilung einer persönlichen Haftung der Organe wird in der Praxis die "Business Judgement Rule" (BJR) herangezogen (vgl. § 93 Absatz 1 Satz 2 AktG). Diese "Regel für unternehmerische Entscheidungen" beruht auf den Principles of Corporate Governance des American Law Institute aus dem Jahr 1994 und der deutschen höchstrichterlichen Rechtsprechung des Bundesgerichtshofs (BGH). Der BGH hatte in seinem Urteil vom 21. April 1997 entschieden, dass ein Unternehmensleiter hinsichtlich der zu treffenden unternehmerischen Entscheidungen einen bestimmten Spielraum hat. Das Organ trifft danach keine persönliche Haftung, wenn er ausreichend gut informiert ist und eine Entscheidung nachvollziehbar im besten Sinne des Unternehmens getroffen hat.

Damit definiert die BJR haftungsausschließendes, pflichtkonformes Verhalten des Vorstands sowie anderer Organe einer Gesellschaft. Eine Pflichtverletzung liegt nicht vor, wenn die folgenden Merkmale erfüllt sind:

  • Es handelt sich um rechtlich gebundene Entscheidungen ("Pflichtentscheidungen"): Bei der Beachtung gesetzlicher, satzungsmäßiger, anstellungsvertraglicher oder organschaftlicher Beschluss-Pflichten will die BJR keinen Spielraum für illegales Verhalten eröffnen. Daher konzentriert sich die BJR auf unternehmerische Entscheidungen, die aufgrund ihrer Zukunftsbezogenheit durch Unsicherheit bzw. Risiken und nicht justiziable Einschätzungen geprägt sind.
  • Gutgläubigkeit: Die Entscheidungen müssen ex ante (diesbezüglich werden später abgelaufene Vorgänge, die zum Entscheidungszeitpunkt noch nicht bekannt sein konnten, außer Acht gelassen) in gutem Glauben auf das  Unternehmenswohl ausgerichtet sein.
  • Handeln ohne Sonderinteressen und sachfremde Einflüsse: Das Vorstandshandeln muss unbeeinflusst von Interessenkonflikten, Fremdeinflüssen und ohne unmittelbaren Eigennutz sein. Der Vorstand muss also unbefangen und unbeeinflusst handeln. 
  • Handeln zum Wohl der Gesellschaft: Entscheidungen müssen der langfristigen Ertragsstärkung und Wettbewerbsfähigkeit des Unternehmens und seiner Produkte/Dienstleistungen dienen. Diese Voraussetzung liegt etwa bei einer nachträglich gewährten Leistungsprämie, die der Gesellschaft keinen zukunftsbezogenen Nutzen bringt, nicht vor. Wenn das mit der Entscheidung verbundene Risiko in völlig unverantwortlicher Weise falsch beurteilt wurde, ist das Merkmal "vernünftigerweise" nicht erfüllt. 
  • Handeln auf der Grundlage angemessener Information: Eine unternehmerische Entscheidung beruht häufig auch auf Instinkt, Erfahrung, Fantasie und Gespür für künftige Entwicklungen, was sich nicht durch objektive Informationen ersetzen lässt. Deshalb soll einerseits der Mut zum unternehmerischen Risiko nicht genommen, andererseits jedoch Unbesonnenheit und Leichtsinn nicht gefördert werden. Abgestellt wird somit auf die vernünftigerweise als angemessen erachtete Information. Eine Information kann nicht allumfassend sein, sondern hat betriebswirtschaftliche Schwerpunkte. In diesem Kontext sollte er vor allem Risiken im Kontext der Risikotragfähigkeit des Unternehmens kennen und im Entscheidungsprozess berücksichtigen.

Im Rahmen der Informationsbeschaffung und -auswertung sowie der Entscheidung, ob und wie eine Maßnahme ausgeführt wird, ist stets der anerkannte Stand von Wissenschaft und Technik zu berücksichtigen. Weicht der Entscheider negativ von diesem anerkannten Stand der Technik ab, so könnte das eine Pflichtverletzung darstellen, zumindest zur Beweislastumkehr zulasten des Managers führen. Die zentrale These lautet, dass ein gewissenhafter, ordentlicher Geschäftsleiter auch die "Basics" einschlägiger betriebswirtschaftlicher, technischer und rechtlicher Werkzeuge, Methoden und des aktuellen Wissens kennen muss, um über deren sachgerechten Einsatz überhaupt urteilen zu können. Dieses Know-how stellt einen wesentlichen Bestandteil der "angemessenen Informationen" im Sinn der BJR dar.


Weiterführende Literaturhinweise:

  • Hauschka, C. E. (2010): Corporate Compliance – Handbuch der Haftungsvermeidung im Unternehmen, 2., überarbeitete und erweiterte Auflage, München 2010.
  • Lorenz, M. (2008): Einführung in die rechtlichen Grundlagen des Risikomanagement, in: Romeike, F. (2008) [Hrsg.]: Rechtliche Grundlagen des Risikomanagements, Berlin 2008.
  • Moosmayer, K. (2010): Compliance -Praxisleitfaden für Unternehmen, München 2010
  • Organisation for Economic Co-operation and Development (2004): OECD Principles of Corporate Governance, Paris 2004.
  • Regierungskommission Deutscher Corporate Governance Kodex (2013): Deutscher Corporate Governance Kodex (in der Fassung vom 13. Mai 2013).
  • Romeike, F. (2008): Rechtliche Grundlagen des Risikomanagements – Haftungs- und Strafvermeidung für Corporate Compliance, Berlin 2008.
  • Scherer, J. (2012): Good Governance und ganzheitliches strategisches und operatives Management: Die Anreicherung des „unternehmerischen Bauchgefühls“ mit Risiko-, Chancen- und Compliancemanagement, in: Corporate Compliance Zeitschrift (CCZ), Ausgabe 6/2012, S. 201-211.
  • Schewe, G. (2005): Unternehmensverfassung. Corporate Governance im Spannungsfeld von Leitung, Kontrolle und Interessenvertretung, Berlin 2005.
Neues aus der RiskNET Mediathek
Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Rückblick RiskNET Summit 2022

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Professor em. Dr. Günther Schmid

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Profi-Bergsteiger David Göttler

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Dr. Alexander Fink (ScMI)

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Oberstleutnant Thorsten Kodalle (Führungsakademie der Bundeswehr)

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Rückblick und Impressionen RiskNET Summit 2021

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Tom Theisejans, IT-Notfallbeauftragter, Deutsche Bahn Konzern

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Prof. Schmid: Globaler Ordnungsanspruch, made in China

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Dr. Christian Glaser: Wirecard & Co.: Warum sich große Betrugsfälle immer wieder ereignen

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Prof. Dr. Michael Huth zu Risiken in der Supply Chain

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Rückblick und Impressionen RiskNET Summit 2020

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Prof. Dr. Jürgen Döllner, Hasso-Plattner-Institut (HPI), Universität Potsdam

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Prof. Dr. Günther Schmid, vormals Bundesnachrichtendienst

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Dialog zwischen Harald Philipp, Mountainbike Abenteurer und Frank Romeike, Gründer des Kompetenzportals RiskNET

Mit dem Aufruf des Videos erklären Sie sich damit einverstanden, dass Ihre Daten (z.B. Ihre IP-Adresse) an Vimeo übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.Vimeo Videos immer laden

Interview mit Tamara Lunger über die Gratwanderung auf den höchsten Bergen der Welt

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.