Corporate Governance Inside

Herausforderung Unternehmensüber­wachung heute

Risiko­manage­ment in beson­ders heraus­­fordern­den Zeiten Leitfaden für Aufsichtsräte

Gerade in herausfordernden Zeiten – sei es durch Krisen, Unsicherheiten am Markt oder sich schnell verändernde Rahmen­beding­ungen – ist ein proaktives und wirksames Risikomanagement essenziell für Unter­nehmen. Dem Auf­sichts­rat kommt hier eine zentrale Rolle zu: Er überwacht die Geschäfts­führung, prüft das Risiko­manage­ment und gibt Impulse zur Sicherung der Zukunfts­fähigkeit des Unter­nehmens. Rechtlicher Rahmen und Pflichten Einrichtungs- und Überwachungspflicht

Der Vorstand einer Gesellschaft hat gemäß § 91 Abs. 3 AktG ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames Risikomanage­mentsystem (RMS) einzurichten. Gleichzeitig übernimmt der Aufsichtsrat eine bedeutende Überwachungsfunktion in Bezug auf das RMS. Gesetzlicher Ausgangspunkt ist die Konkretisierung der Pflichten zur Überwachung der Wirksamkeit von Corporate-Governance-Systemen (§ 107 Abs. 3 AktG), die das RMS ein­schließen. Krisenfrüherkennung und Krisenmanagement

Als wichtiger Bestandteil eines ganzheitlichen RMS hat der Vorstand einer Aktiengesellschaft geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwick­lungen früh erkannt werden (§ 91 Abs. 2 AktG). Auch Geschäfts­leiter haftungs­beschränkter Rechtsträger müssen fortlaufend über Entwicklungen wachen, die den Fortbestand der Gesellschaft gefährden könnten, und geeignete Gegenmaßnahmen ergreifen. Sie sind verpflichtet, dem Aufsichtsrat unverzüglich Bericht zu erstatten, wenn solche Entwicklungen erkannt werden. Der Auf­sichtsrat ist somit Adressat der Berichte im Krisenfall und muss deren Inhalte kritisch prüfen und gegebenenfalls eigene Maßnahmen anregen (§ 1 Abs. 1 StaRUG). Prüfung und Berichtspflichten

Der Aufsichtsrat prüft den Jahresabschluss, den Lagebericht und gegebenenfalls den Konzern­abschluss sowie nicht-finanzielle Berichte. Der Abschlussprüfer berichtet dabei auch über Schwächen des internen Kontroll- und Risiko­managementsystems. Über das Prüfungs­ergebnis ist an die Hauptversammlung zu berichten, insbesondere auch über die Art und den Umfang der Überwachung der Geschäfts­führung (§ 171 AktG). Ferner zählt gemäß Deutschem Corporate Governance Kodex 2022 die Überwachung der Angemessenheit und Wirksamkeit des RMS zu den Kernaufgaben der Internen Revision. Ergänzend bieten sich Prüfungen der Angemessenheit und Wirksamkeit des RMS gemäß IDW PS 981 durch externe Sachverständige wie Wirtschafts­prüfungs­gesellschaften an. Anforderungen an das Risikomanagement Grundstruktur eines angemessenen und wirksamen Risikomanagementsystems

Eine ordnungsgemäße Geschäftsorganisation muss ein ange­messenes und wirksames Risikomanagement umfassen, das insbesondere die Risikotragfähigkeit des Unternehmens laufend sicherstellt. Dies ist insbesondere in wirtschaftlich und politisch herausfordernden (Krisen-)Zeiten bedeutend für eine zielorien­tierte Steuerung. Wesentliche Elemente eines angemessenen und wirksamen RMS sind gemäß IDW PS 981:

  • Risikokultur: Die Risikokultur als Teil der Unternehmenskultur umfasst die grund­sätzliche Einstellung und die Verhaltens­weisen beim Umgang mit Risikosituationen. Sie beeinflusst maßgeblich das Risiko­bewusstsein im Unternehmen und bildet die Grundlage für ein wirksames RMS.
  • Ziele des Risikomanagementsystems: Die unter­neh­mens­politischen Zielsetzungen und insb. die Unternehmensstrategie bilden die Ausgangsbasis für die Ableitung einer Risikostrategie und für ein systematisches Risikomanagement des Unter­nehmens. In der Risikostrategie wird festgelegt, in welchem Ausmaß unter Berücksichtigung der Risikotrag­fähigkeit des Unternehmens Risiken eingegangen werden sollen (Risiko­appetit), ergänzt durch unternehmerische Vorgaben zum erwünschten Umgang mit Risiken in Form einer Risikopolitik. Die Ziele des RMS sind darauf ausgerichtet sicherzustellen, dass die Unternehmensziele entsprechend der Risikostrategie erreicht werden.
  • Organisation der Risiko­­manage­ment­systems: Von entscheidender Bedeutung für das RMS sind eine transparente und eindeutige Aufbauorganisation sowie eine klar definierte Ablauforganisation. Verant­wortungs­bereiche und Rollen sind klar geregelt, abge­grenzt, kommuniziert und dokumentiert. Die Aufgabenträger erfüllen die erforderlichen persönlichen und fachlichen Voraussetzungen. Es stehen ausreichende Ressourcen für Risiko­managementmaßnahmen zur Verfügung (insb. Personen, Technologie, Hilfsmittel). Die wesent­lichen Regelungen zur Aufbau- und Ablauforganisation des Risikomanagements sind dokumentiert und verbindlich vorge­geben.
  • Risikoidentifikation: Die Risiko­identifi­kation umfasst die regelmäßige, systematische Analyse von internen und externen Entwick­lungen und Ereignissen, die zu negativen oder positiven Abweichungen von den festgelegten Zielen des RMS führen können.
  • Risikobewertung: Risiken werden hinsichtlich ihrer Ursache-Wirkungs-Zusammenhänge systematisch untersucht sowie typischerweise im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Auswirkungen beurteilt. Bewertungs­verfahren und -kriterien sind (auch für nicht quantifizierbare Risiken) eindeutig definiert. Dies umfasst die Verwendung einer Bewertungs­systematik, die es erlaubt, die Bedeutung und den Wirkungsgrad von Risikosteuerungsmaßnahmen einzuschätzen. Die einzelnen Risikobewertungen werden systematisch aggregiert. Risikointer­dependenzen werden dabei analysiert und berücksichtigt.
  • Risikosteuerung: Auf der Grundlage der identifizierten und bewerteten Risiken trifft die Unternehmensleitung Entschei­dungen über Maßnahmen zur Risikosteuerung (Risiko­vermeidung, Risikoreduktion, Risiko­teilung bzw. -transfer sowie Risikoakzeptanz). Als Bezugsrahmen dienen die festgelegten Ziele des RMS.
  • Risikokommunikation: Die Risiko­kommu­nikation gewährleistet einen angemessenen Informationsfluss im RMS. Dies umfasst einen standardisierten Prozess auf der Basis konkre­ter Zuständig­keiten, Periodi­zitäten, Schwellen­werte und Berichts­formate. Für eilbedürftige Risiko­meldungen ist ein separater Berichts­prozess etabliert, der eine zeitnahe Über­mittlung der relevanten Informationen sicherstellt. Für die Risikobeurteilung werden die entscheidungsrelevanten Informationen gesammelt, auf ihre Zuverlässigkeit überprüft und aktualisiert.
  • ­Überwachung und Verbesserung des Risikomanage­mentsystems: Angemessenheit und Wirksamkeit des RMS werden durch prozessintegrierte und prozess­unabhängige Kontrollen überwacht. Voraussetzung für die Überwachung ist eine angemessene Dokumentation des RMS. Die Ergebnisse der Überwachungsmaßnahmen (insb. festge­stellte Mängel im RMS) werden in geeigneter Form berichtet und ausgewertet, damit die erforderlichen Maßnahmen zur Verbesserung des Systems und zur Beseitigung von Mängeln ergriffen werden können.

Funktionsspezifisches Risikomanagement

Neben dem holistischen RMS, in dem idealer­weise alle relevanten Risiken des Unternehmens und korrespondierenden Informa­tionen berück­sichtigt werden, existieren funktions­spezifische Risikomanagementansätze in jeder Form der Unternehmens­organisation (z.B. im Bereich IT, Produktion, Logistik). Aus dem funktions­spezifi­schen Risikomanagement können wichtige Informationen für das überge­ordnete RMS generiert und genutzt werden (z.B. in Bezug auf die Bewertung und genutzte Gegenmaßnahmen von IT-, Produktions- oder Logistikrisiken). Wider­sprüchliche Informationen an die Unterneh­mensorgane zwischen übergeordnetem RMS und funktions­spezi­fischem Risikomanagement sind zu vermeiden. Während das überge­ordnete RMS für den Aufsichtsrat einen guten Gesamt­über­blick über die Risikolage des Unternehmens vermittelt, bedarf es ggf. vertiefender Infor­mationen und Prüfungen in Bezug auf die funktions­spezifischen Risikomanage­ment­ansätze.

Besondere Herausforderungen in Krisenzeiten Frühzeitige Erkennung und Reaktion

In Krisenzeiten ist eine erhöhte Wachsamkeit des Aufsichtsrats erforderlich. Die Geschäftsleitung muss Entwicklungen, die den Fortbestand gefähr­den, frühzeitig melden, und der Aufsichts­rat muss diese Informationen kritisch würdigen und gegebenenfalls Maßnahmen einfordern. Stresstests und Szenarioanalysen

Die Beurteilung der Risikotragfähigkeit muss auch Stressszenarien und außergewöhnliche Ereignisse umfassen. Aufsichtsräte sollten darauf achten, dass entsprechende Verfahren einge­richtet und regelmäßig durchgeführt werden. In der Praxis werden bei Industrie­unternehmen Stresstests und Szenarioanalysen z.B. im Rahmen der Risikotragfähigkeitsanalysen im RMS noch nicht flächendeckend eingesetzt. Berücksichtigung strategischer Risiken

Strategische Risiken mit langfristiger oder disrup­tiver Auswirkung sind idealerweise im RMS und den daraus resultierenden Berichten an die Unternehmensorgane zu berücksichtigen. Sollte eine separate Betrachtung und Berichterstattung über strategische Risiken genutzt werden, sind die Unternehmensorgane darüber zu infor­mieren. In der Praxis werden in Risiko­berichten an die Unternehmensorgane neben kurzfristigen operativen Risiken, die häufig angemessen zu quantifizieren sind, auch strategische Risiken mit einer zunächst qualita­tiven Risikoeinschätzung berichtet (z.B. in Form eines strategischen Risikoradars). Ganzheitliches Resilienzmanagement

Das RMS dient als wichtige Basis zur Information und Steuerung in Bezug auf die Risikolage des Unternehmens. Gerade in heraus­fordernden Zeiten bzw. Krisenzeiten ist die Harmonisierung des RMS mit insbesondere dem Business-Continuity-Management, dem Notfall- und Krisenmanagement sowie dem Informations­sicherheitsmanagement des Unternehmens im Sinne eines ganzheitlichen Resilienz­manage­mentansatzes von besonders hoher Bedeutung. Nutzung künstlicher Intelligenz

Aufgrund in der Regel dynamischer Entwick­lungen von Risiko- und Bedrohungslage in besonders herausfordernden Zeiten bzw. Krisenzeiten empfiehlt es sich, auf die Nutzung künstlicher Intelligenz nach aktuellem Stand der Technik zurückzugreifen und die Abläufe zu beschleunigen. Dies betrifft insbesondere analy­tische Tätigkeiten wie z.B. Risikoanalysen, um möglichst zügig relevante Impulse in Bezug auf die Evaluierung von Risiken wahrnehmen zu können. Dabei ist es von hoher Bedeutung, dass die Ergebnisse aus der Nutzung künstlicher Intelligenz durch die funktions- und fachspezi­fischen Experten des Unternehmens validiert und ggf. justiert werden. Turnus zur Überprüfung der Risiko­manage­mentprozesse

In besonders herausfordernden Zeiten ist eine regelmäßige und ggf. außerordentliche Über­prüfung der Risikomanagementsysteme erfor­derlich, um auf die entsprechend besonders dynamischen Risikoentwicklungen reagieren zu können. Schwächen oder Mängel sind dem Vorstand und dem Aufsichtsrat mitzuteilen, und Korrekturmaßnahmen müssen zeitnah umgesetzt werden. Praktische Leitlinien für Aufsichtsräte Informationsrechte und Sitzungen

edes Aufsichtsratsmitglied kann die Einberufung des Aufsichtsrats verlangen, insbesondere bei außergewöhnlichen Risiken oder Krisen­situ­ationen. Die Sitzung muss binnen zwei Wochen stattfinden (§ 110 AktG). Mindestens zwei Sitzungen pro Kalenderhalbjahr sind Pflicht, um die laufende Überwachung sicherzustellen. Einbindung von Experten

Der Aufsichtsrat kann zur Überwachung und Prüfung externe Sachverständige hinzuziehen, um die Qualität der Risikobewertung zu erhöhen (§ 111 AktG). Transparenz und Berichterstattung

­Der Aufsichtsrat ist verpflichtet, über seine Überwachungstätigkeit und die Ergebnisse der Prüfungen transparent an die Haupt­ver­samm­lung zu berichten (§ 171 AktG). Schwächen im Risiko­managementsystem sind offenzulegen und Empfehlungen zur Verbesserung zu geben. Fazit und Zusammenfassung

  • Der Aufsichtsrat trägt eine zentrale Verant­wortung für die Überwachung des Risiko­managements, insbesondere in heraus­fordernden Zeiten bzw. Krisenzeiten.
  • Er muss sich umfassend informieren, regel­mäßig prüfen und aktiv Korrekturen einfordern.
  • Ein wirksames RMS umfasst geregelte Risikomanagementkultur, -strategie, -aufbau- und -ablauforganisation sowie die regelmäßige Überprüfung und Verbesserung – stets angepasst an die individuelle Risikosituation und die Komplexität des Unternehmens.
  • Ein adäquates Schnittstellenmanagement zwischen ganzheitlichem bzw. überge­ordnetem RMS und funktionsspezifischen Risikomanagementansätzen ist sicherzustellen.
  • Auf hinreichende Stresstests und Szenario­analysen sowie die Berücksichtigung strate­gischer Risiken im Kontext des Risiko­manage­ments ist zu achten.
  • Gerade in Krisenzeiten ist die Harmonisierung des Risikomanagements mit Disziplinen wie dem Business-Continuity-Management, dem Notfall- und Krisenmanagement und dem Informationssicherheitsmanagement zu einem holistischen Resilienzmanagementansatz von besonderer Bedeutung.
  • In Krisenzeiten steigen die Anforderungen an die Wachsamkeit und Handlungs­ge­schwin­digkeit des Aufsichtsrats erheblich.
  • Der rechtliche Rahmen verpflichtet zu Trans­parenz, Doku­mentation und Bericht­erstattung über alle wesentlichen Über­wachungs­maßnahmen und deren Ergebnisse.

René Scheffler Partner | Assurance | Deloitte Deutschland

E-Mail

Hier können Sie das gesamte Magazin als PDF herunterladen:

Download

Teilen Sie diesen Artikel:

<< Zurück zum Inhaltsverzeichnis

Erfahren Sie mehr zu unserem Programm