Lea Wolfinger, LL. M.

Risikomanagementsysteme und ihre Chancen

Unternehmerisches Handeln ist seit jeher mit Risiken verbunden, doch die gesamtwirtschaftliche Entwicklung der Welt, mit steigender Vielschichtigkeit und Verflechtung und das gesteigerte Bewusstsein für alle Dimensionen der Nachhaltigkeit machen es unumgänglich, ESG-Risiken in die Unternehmenssteuerung aufzunehmen. Sie zu managen, zählt zu den zentralen Erfolgsfaktoren für das Unternehmen. Der vorliegende Beitrag stellt daher systematisch die Chancen eines Risikomanagementsystems dar und zeigt auf, wie ein adäquates Risikomanagementsystem Unterstützung leisten kann. Dabei integriert die Autorin auch die Sichtweise zweier Unternehmensvertreter, die aus Interviews vom Oktober 2023 resultieren. Ein Folgebeitrag (erscheint in CB 3/2026) beschäftigt sich mit den Grenzen denen Risikomanagementsysteme unterliegen.

I. Theoretische Grundlagen

Gestiegene externe Bedrohungen im ESG-Bereich, wie Pandemien, Rohstoffknappheit, Kriege, Naturkatastrophen und der Klimawandel steigern gleichermaßen die Relevanz von Risikomanagementsystemen. Die Bedeutung wird nicht zuletzt auch durch die steigenden Anforderungen des nationalen Gesetzgebers sowie internationaler Regelungen betont. Die Regelungswellen sind zum einen auf große Unternehmenszusammenbrüche, wie beispielsweise den der Wirecard AG, aber auch auf das stetig wachsende gesellschaftliche Bewusstsein für Umwelt-, Sozial und Unternehmensführungsbelange (ESG) zurückzuführen, wodurch das Thema seine Aktualität behält. Die Situation, der Unternehmen heutzutage ausgesetzt sind, lässt sich mit dem Akronym VUCA beschreiben, das für volatility (engl. für Volatilität), uncertainty (engl. für Unsicherheit), complexity (engl. für Komplexität) und ambiguity (engl. für Doppel- bzw. Mehrdeutigkeit) steht.1 Wir bewegen uns also in einer Welt, die sich ständig verändert und instabil ist, in der viel Unsicherheit herrscht, weil unter anderem die Erfahrungen aus der Vergangenheit nicht länger genutzt werden können.2 Eine Welt, die durch Verknüpfung und Verkettung, beispielsweise aufgrund der Globalisierung immer komplexer wird und in der nur noch selten ein einziger richtiger Weg existiert.3 Die VUCA-world führt zum Steigen der Risikowahrscheinlichkeit und im Gegenzug zum Sinken der Absehbarkeit von Unternehmenskrisen.4 Unternehmen, die in dieser Welt erfolgreich und resilient bestehen wollen, müssen sich diesen Faktoren bewusst sein. Dabei kommt die Frage auf: „Risikomanagementsysteme – jetzt erst recht?“, welche durch die beiden Beiträge beantwortet werden soll. Zum allgemeinen Verständnis ist die Darstellung der folgenden theoretischen Grundlagen unerlässlich.

1. Risiko

In Literatur und Praxis existieren verschiedene Definitionen des Risikobegriffs. Alle haben gemeinsam, dass das Risiko im engeren Sinne als negative Planabweichung definiert wird und auch dem allgemeinen Sprachgebrauch liegt eher der Risikobegriff im engeren Sinne zugrunde.5 Das Risiko im weiteren Sinne umfasst jedoch sowohl die negative Planabweichung, also das Risiko im engeren Sinne, als auch die positive Planabweichung, die Chance. Diese zweigliedrige Definition berücksichtigt, dass unternehmerische Entscheidungen und künftige Entwicklungen nie nur Risiken oder nur Chancen zur Folge haben, sondern sowohl Gewinn als auch Verlust bedeuten können.6 Dieser Sichtweise wird auch hier gefolgt, denn auch die Chancen sind im Kontext des Risikomanagements nicht zu vernachlässigen. Zudem berücksichtigt der weite Risikobegriff, dass Chancen nur erreicht werden können, wenn das Unternehmen dazu bereit ist, Risiken einzugehen.7 Beachtet man nur die Risiken einer Entscheidung, so wird verkannt, dass diese auch einen positiven Effekt auf die Zukunft des Unternehmens haben kann. Die hier im Fokus stehenden ESG-Risiken, also Risiken aus Umwelt (Environment), Soziales (Social) oder Unternehmensführung (Governance), werden grundsätzlich nicht als eigene Risikokategorie, wie beispielsweise Liquiditätsrisiken oder operationelle Risiken angesehen, sondern führen vielmehr zur Verwirklichung dieser etablierten Risikokategorien.8 So führt beispielsweise durch den Klimawandel ausgelöstes Hochwasser, Kinderarbeit in ausländischen Lieferketten oder eine Pandemie zu Liquiditätsengpässen, Betriebsunterbrechungen oder Reputationsschädigungen. ESG-Risiken können unterteilt werden in physische Risiken, die sich beispielsweise aus Extremwetterereignissen ergeben und transitorische Risiken, die durch die politischen Maßnahmen zum Übergang hin zu einer nachhaltigen, klimaneutralen Wirtschaft entstehen.9

2. Risikomanagement(system)

„Risikomanagement bezeichnet alle Tätigkeiten, die darauf ausgerichtet sind, Risiken frühzeitig und systematisch zu erfassen, zu steuern und zu überwachen.“10 In den vergangenen Jahren hat sich das Risikomanagement (RM) von einem traditionellen Ansatz hin zu einem strategischen entwickelt. Während einst der Fokus rein auf der Absicherung vor Verlusten lag, wird das RM heute vermehrt als Teil des strategischen Managements angesehen, das einen Beitrag zum Unternehmenserfolg leistet.11 Aufbauend darauf, umfasst das Risikomanagementsystem (RMS) „[…] alle Grundsätze, Prozesse, Methoden, Zuständigkeiten und Bezeichnungen zur Umsetzung des Risikomanagements der Organisationseinheit.“12 Aus der betriebswirtschaftlichen Sicht gehören seit Einführung der ersten gesetzlichen Regelung zum RMS im weiteren Sinne das Risikofrüherkennungssystem, das Interne Überwachungssystem, das Controlling, das Compliance-Management-System, das Interne Revisionssystem sowie das Interne Kontrollsystem.13 Im Folgenden ist unter einem RMS das RMS im engeren Sinne zu verstehen, also das Management wirtschaftlicher Risiken ohne Fokus auf die Unterstützung durch andere Corporate Governance Systeme. Risikomanagementsysteme sind stets an die unternehmensindividuellen Besonderheiten anzupassen, erhalten aber meist jedoch die folgenden Grundbausteine: Risikoidentifikation, -bewertung und -steuerung, die Kommunikation sowie die Überwachung.14

3. Gesetzliche Regelungen

Wie eingangs erwähnt, ist unternehmerisches Handeln stets mit Risiken verbunden. Daher ist es nahezu selbstverständlich, dass sich die Verpflichtung zum RM schon aus der allgemeinen Leitungs- und Sorgfaltspflicht der gesetzlichen Vertreter gem. § 76 Abs. 1 und § 93 Abs. 1 AktG ableiten lässt.15 Dennoch haben der Gesetzgeber und andere Organisationen die Vorgaben fortlaufend konkretisiert und an verschiedensten Stellen in der Gesetzeslandschaft verankert (vgl. § 289 Abs. 1 S. 4, Abs. 2 und 4 HGB; § 15a InsO; § 1 Abs. 1 StaRUG). Die bereits über die allgemeine Sorgfaltspflicht bestehende Pflicht16 wurde zum 1. 7. 2021 in § 91 Abs. 3 AktG im Gesetz verankert. § 91 Abs. 3 AktG schreibt nun die ausdrückliche gesetzliche Pflicht zur Implementierung eines RMS für börsennotierte Aktiengesellschaften vor. Auf eine gesetzliche Verankerung der Verpflichtung nach § 91 Abs. 3 AktG wurde im GmbHG bewusst verzichtet.17 Es ist jedoch nach h. M. anerkannt, dass über § 93 Abs. 1 AktG i. V. m. § 43 Abs. 1 GmbHG die Verpflichtung auch für die gesetzlichen Vertreter der GmbH greifen kann, zumal nun auch durch § 1 Abs. 1 StaRUG die ausdrückliche Pflicht besteht, ein geeignetes System einzurichten.18 Neben den gesetzlichen Regelungen existiert ferner eine Reihe von Standards und Rahmenwerken, wie beispielsweise IDW PS 340 n. F. und 981, den DIIR Revisionsstandard Nr. 2, die ISO-Normen DIN ISO 31000, das COSO ERM sowie den Deutschen Corporate Governance Kodex, die sich mit der Ausgestaltung und Prüfung des RMS befassen.

II. Chancen

Der Umsetzungsstand in der Praxis zeigt, dass das Einhalten der gesetzlich gebotenen Regelungen noch immer der Hauptgrund für die Einrichtung eines RMS ist.19 Sieht man das System jedoch nicht nur als bloße Pflichterfüllung an, so kann man den daraus generierten Wert und die damit einhergehenden Vorteile auch nutzen.

1. Vorbereitung unternehmerischer Entscheidungen

Das Eingehen geschäftlicher Risiken gehört zu den zentralen Aspekten der unternehmerischen Tätigkeit.20 Nicht selten verlassen sich die Manager bei ihren Entscheidungen auf ihre Intuition bzw. ihr Bauchgefühl, was zu emotionalen statt rationalen Entscheidungen führen kann.21 Durch das RMS kann dieses Missverhältnis abgeschwächt werden, indem die Managemententscheidungen vom System getragen werden und eine adäquate Entscheidungsgrundlage vorliegt.22 Die Unternehmensleitung erhält durch das RMS einen Gesamtüberblick über die Risiken des Unternehmens sowie ihre Abhängigkeiten beispielsweise in Form von Risikoanalysen und kann dieses Wissen in die Entscheidungen einfließen lassen.23 Dadurch wird sichergestellt, dass dem Management bereits im Vorfeld die Auswirkungen einer Entscheidung auf die Risikosituation des Unternehmens bekannt sind.24 Dies ist insbesondere auch im Hinblick auf die Erreichung der Unternehmensziele zu beachten. Ein adäquates RMS kann dabei unterstützen, die übergeordneten Ziele des Unternehmens in die Entscheidungsfindung einfließen zu lassen.25 Weit ausgebaute und integrierte Systeme liefern außerdem konkrete Entscheidungsalternativen je nach Risikoparameter, denen eine Entscheidungslogik zugrunde liegt.26 Dem Manager27 wird die Entscheidung quasi vom System abgenommen. Auch kurzfristig auftretende Risiken können, selbst wenn sie bisher noch nicht identifiziert waren, durch ein RMS schneller und effektiver gemanagt werden, da die grundsätzliche Vorgehensweise und auch die Berichts- und Entscheidungswege vom System vorgegeben werden.28 Durch das RMS können zudem Schwankungen, die durch zukünftige, unerwartete Ereignisse ausgelöst werden, zurückgehen.29 Dies führt unmittelbar zu Planungssicherheit für die Unternehmensleitung und dies wiederum sowohl zu einer Steigerung der Ertragskraft des Unternehmens als auch zur Verbesserung anderer Entscheidungen.30 In einem vergleichsweise sicheren Umfeld kann die Unternehmensleitung Entscheidungen mit einem anderen Fokus treffen als dies bei Unsicherheit der Fall ist. RM darf nicht nur als System zur Risikominimierung oder gar Vermeidung verstanden werden.31 Vielmehr geht es darum, ein optimiertes Risiko-Ertrags-Verhältnis der unternehmerischen Entscheidungen hervorzurufen.32 Risiken können eingegangen werden, um die damit verbundenen Chancen zu nutzen und so Wert im Unternehmen zu generieren.33 Durch das RM wird obendrein ein systematischer und kontinuierlicher Umgang mit Risiken im Unternehmen etabliert, wodurch die verschiedenen Entscheidungen auch in ihrer Gesamtheit bzw. mit der Risikopolitik des Unternehmens abgestimmt werden können.34 Diesen Annahmen stimmen auch beide Interviewpartner zu.35 Von Matthias Makurath wird insbesondere die Beleuchtung der Entscheidung durch verschiedene Perspektiven betont. Die angemessene Entscheidungsfindung wird nicht zuletzt auch durch die Business Judgement Rule nach § 93 Abs. 1 S. 2 AktG gefordert.36

2. Resilienz

Die Möglichkeiten, den Begriff Resilienz zu definieren, stammen aus den unterschiedlichsten Fachbereichen von der Physik bis hin zur Psychologie.37 Für die folgenden Ausführungen wird der Begriff Resilienz als Umschreibung für die „[…] Widerstandsfähigkeit gegenüber äußeren Widrigkeiten […]“38 verwendet. Die Entwicklungen der vergangenen Jahrzehnte haben gezeigt, dass Unternehmen gegen eine ganze Reihe verschiedenster äußerer Widrigkeiten Bestand haben müssen, um zu überleben. Darunter Finanzmarktkrisen, Kriege, dadurch ausgelöste Rohstoffknappheiten oder auch Pandemien. Resilienz wird erreicht, indem sich das Unternehmen auf allen Ebenen auf die Zukunft vorbereitet. Dies schließt unter anderem die Beziehung zu sämtlichen Stakeholdern, die Liquidität des Unternehmens, aber auch dessen Ertragskraft mit ein. Ferner ist es in Zeiten unbeständiger Märkte unausweichlich, die eigene Risikosituation zu kennen und entsprechende Steuerungsmaßnahmen zu ergreifen.39 Die Fähigkeit zum richtigen Umgang mit Chancen und Risiken, die durch ein angemessenes RM gefördert wird, ist für den Unternehmenserfolg essenziell.40 Dies wird auch von Karl Würz im Interview betont. Er sieht die wesentliche Chance eines RMS im strukturierten und vollumfänglichen Nachdenken über die vorhandenen Risiken, sodass im Optimalfall kein Risiko übersehen wird. Hinzu kommt der Ausbau einer positiven Risikokultur. Diese bildet die Grundlage für ein innovatives, flexibles und insbesondere resilientes Unternehmen.41 Auch die Stakeholderbeziehungen werden durch das RM gefördert. Hinsichtlich der Lieferanten sei beispielsweise auf die durch das RMS ausgelöste stabile Gewinnentwicklung42 hingewiesen, die dem Unternehmen ausreichend und vor allem planbare Liquidität zum Bezahlen der Lieferantenrechnungen einbringt.43 Wie bereits erwähnt, führt das RMS zu fundierteren unternehmerischen Entscheidungen. Solche Entscheidungen begünstigen die Mitarbeiterzufriedenheit und führen mittelbar zu ausreichend Know-how und Manpower im Unternehmen. Die Mitarbeiterzufriedenheit wird zudem durch eine stabile Gewinnentwicklung und eine niedrigere Insolvenzwahrscheinlichkeit gefördert.44 Nicht zuletzt führt, nach der Ansicht von Matthias Makurath, ein funktionierendes RMS auch zu einem angepassten Risikoumgang bei den Mitarbeitern und stärkt deren Akzeptanz, wodurch das Unternehmen von innen heraus resilienter wird. Hinsichtlich der Lieferanten sei beispielsweise auf die durch das RMS ausgelöste stabile Gewinnentwicklung45 hingewiesen, die dem Unternehmen ausreichend und vor allem planbare Liquidität zum Bezahlen der Lieferantenrechnungen einbringt.46 Nicht nur die Beziehung zu Lieferanten und Mitarbeitern wird gestärkt. Auch Kunden favorisieren Verträge mit einem Geschäftspartner, der sich seiner Risiken bewusst ist und aktiv versucht, diese zu reduzieren oder zumindest zu managen.47 Die genannten Faktoren haben außerdem einen positiven Einfluss auf die Wettbewerbsfähigkeit des Unternehmens und machen es widerstandsfähig gegenüber der Konkurrenz.48 Für einen nachhaltigen, im Sinne von anhaltenden, Unternehmenserfolg sind auch die Ertragskraft und Liquidität entscheidend. Das RMS trägt dazu bei, die Unternehmensziele zu erreichen und zählt als erfolgs- sowie wert- und gewinnbringender Faktor.49 Dadurch wird dem Unternehmen über die erzielten Gewinne auch eine entsprechende Liquidität zur Verfügung gestellt.50 Zusammenfassend liegt einer resilienten Unternehmensführung der effektive Umgang mit Risiken zu Grunde, weshalb das RM als integraler Bestandteil derselben angesehen wird.51

3. Erhöhter Unternehmenswert

Bereits die Neufassung des „COSO ERM Framework“ im Jahr 2017 hat deutlich gemacht, dass sich das RM von einer reinen Wertsicherung hin zu Wertgenerierung entwickelt.52 Zum einen wird durch die Auseinandersetzung mit dem RMS und der Einrichtung desselben Know-how im Unternehmen geschaffen. Darüber hinaus kann ein angemessenes RMS auch einen positiven Einfluss auf die Unternehmensreputation haben.53 An dieser Stelle kann auch auf eine Definitionsmöglichkeit des Risikobegriffs zurückgegriffen werden, die unter einem Risiko sowohl die negative (Risiko im engeren Sinne) als auch die positive Zielabweichung (Chance) versteht.54 Oftmals steckt in einem Risiko nämlich auch die Chance auf eine neue Entwicklung oder Strategie.55 Somit stellt das Eingehen von Risiken einen wesentlichen Werttreiber dar, stets jedoch unter der Prämisse, dass die Risiken auch adäquat gemanagt werden.56 Dies wird auch von den Unternehmen bereits erkannt, die in ihren Geschäftsberichten darüber berichten, dass sie durchaus auch bewusst Risiken zur Chancengenerierung eingehen.57 Hierfür ist jedoch stets ein entsprechendes Risikoniveau zu bestimmen, damit auch tatsächlich eine Wertsteigerung eintritt.58 Die Kunst besteht schlussendlich darin, zu erkennen, welches die „richtigen“ Risiken sind, die das Unternehmen eingehen möchte und auch kann.59

4. Krisenprävention und -früherkennung

„[…] bei den (?bisherigen?) Sanierungsfällen, Insolvenzen, die hatten ihre Risiken nicht im Griff gehabt […]. Die haben strategisch nicht gesehen, Marktanteile brechen mir weg […] es kommt ein neuer Wettbewerber […] die waren nur reaktiv […] und sehr spät reaktiv […] auf ein Risiko, dass dann bereits wahrscheinlich schon seit ein paar Monaten eingetreten ist […] und das ist dann auch […] der wesentliche Grund […] für […] [eine] Insolvenz“, so Matthias Makurath im Interview. Die Krisen- bzw. Risikofrüherkennung ist zwar nach § 91 Abs. 2 AktG sowie nach § 1 StaRUG verpflichtend, dennoch kann das Unternehmen auch hieraus Chancen generieren. Eine einheitliche Definition des Krisenbegriffs gibt es nicht.60 Rechtlich wurde die Krise lange über die Insolvenzgründe nach §§ 17 ff. InsO definiert, die sich auf den Höhepunkt einer Krise beschränken, nämlich die Insolvenz.61 Durch das Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (StaRUG) ist nun in § 1 Abs. 1 StaRUG eine weitere Definitionsmöglichkeit in die Gesetze eingezogen, die alle Entwicklungen umfasst, die den Fortbestand des Unternehmens gefährden könnten. Aus betriebswirtschaftlicher Sicht „[…] liegt eine Krise vor, wenn eine kritische Entwicklung […] den Fortbestand des Unternehmens bedroht und wesentliche Ziele und Werte des Unternehmens unmittelbar gefährdet.“62 Für die folgenden Ausführungen wird die StaRUG-Definition verwendet, denn das RMS sollte bereits vor Eintritt der Insolvenz seinen Mehrwert entfalten. Begrifflich ist das RM noch vom Krisenmanagement zu unterscheiden. Während sich das RM mit der Krisenfrüherkennung und -prävention beschäftigt, ist das Krisenmanagement für den Umgang mit bereits eingetretenen Krisen zuständig.63 Jede Krise war zunächst nur ein Risiko, das sich dann verwirklicht hat.64 Aufgabe des RM ist es daher auch, durch Früherkennung der Risiken und entsprechende Gegenmaßnahmen bereits den Eintritt zu verhindern, sodass erst gar keine Krise entstehen kann.65 Dabei ist auch der Faktor Geld eminent, denn in den meisten Fällen kostet die Reaktion auf eine bereits eingetretene Krise mehr Geld als die Prävention gekostet hätte. Nicht nur monetär, sondern generell geht Prävention vor Reaktion, denn bei Letzterer bleiben oftmals nur noch wenige Handlungsoptionen.66 Auch Matthias Makurath betont dies im Interview und sieht den proaktiven Umgang mit Risiken als wesentliche Chance des RMS an. Während sich identifizierte Risiken, wie bereits erwähnt, noch steuern lassen, ist dies bei eingetretenen Krisen nicht mehr der Fall, hier kann in der Regel nur noch der Schaden begrenzt werden.67 Dies wurde nicht zuletzt auch durch die COVID-19-Pandemie deutlich.68 Eine weitere Chance ergibt sich auch aus bereits durchlebten Krisen. Die Transparenz und Berichterstattung sowie die intensive Auseinandersetzung mit Risiken im Rahmen des RMS kann so dazu beitragen, dass sich bereits vergangene Krisen nicht wiederholen, ganz entsprechend der Redewendung „aus Fehlern lernt man“.69 Fokus des Systems ist jedoch stets, dass diese Fehler gar nicht erst eintreten.70 Dem RMS kommt insoweit also sowohl eine Präventiv- als auch eine Korrekturfunktion zu, da durch die verbesserte Risikoposition zum einen weniger Krisen eintreten und zum anderen das System fortlaufend verbessert und an Veränderungen angepasst wird.71
Karl Würz hebt im Gespräch hervor, dass die Krisenfrüherkennung oder -prävention auch einen positiven Nebeneffekt für die Arbeitnehmer hat, da ihre Arbeitsplätze gesichert werden. Das System kann jedoch in keinem Fall als Garant für Krisenverhinderung gesehen werden.72 Wie dem Geschäftsbericht der Volkswagen Group zu entnehmen ist, hat auch die Praxis dies erkannt.73

5. Kostensenkung

Eine weitere Chance, die durch ein angemessenes und wirksames RMS generiert wird, ist die Kostensenkung. Diese ist zumindest von zwei Seiten zu beleuchten.

a) Senkung der Risikokosten

Zum einen können die Risikokosten, also insbesondere die Kosten der Schadensabwehr oder -beseitigung, optimiert werden.74 Das Unternehmen erhält durch das RMS einen transparenten Überblick über all die vorkommenden Risiken und ihre Wahrscheinlichkeiten und kann auf dieser Basis Präventivmaßnahmen ergreifen, die die Risiken bereits an der Ursache erfassen. Für bereits eingetretene Risiken liefert das RMS schnelle und angemessene Reaktionen, sodass durch die Zeitersparnis auch eine Kostenersparnis hervorgerufen wird. Unter die Risikokosten fallen ferner auch die Versicherungskosten.75 Der Abschluss einer Versicherung ist eine Form der Risikosteuerung. In einem angemessenen RMS sind die Maßnahmen der Risikosteuerung ausgewogen und treffend, sodass gegebenenfalls verzichtbare Versicherungen gekündigt werden können. Jedoch können auch Versicherungsprämien notwendiger Versicherungen durch ein angemessenes RMS sinken, da dieses die Prämienberechnung positiv beeinflusst.76

b) Senkung der Kapitalkosten

Zum anderen kann auch eine Reduktion der Kapitalkosten erzielt werden.77 Gut ausgebaute RMS führen nämlich zu einem besseren Rating bei Banken sowie Ratingagenturen und damit zu niedrigeren Kapitalkosten aufgrund besserer Kreditkonditionen.78 Dies wird nicht zuletzt auch dadurch erreicht, dass durch das RMS die Volatilität reduziert wird und sich die Gewinnentwicklung des Unternehmens stabilisiert.79 Die dadurch hervorgerufene ausreichende Kapitaldienstfähigkeit bzw. Liquidität führt dann beispielsweise zu geringeren Risikoaufschlägen bei Kreditinstituten und anderen Kapitalgebern.80 Durch das RMS werden außerdem unerwartete Überraschungen reduziert, die häufig der Grund für die Aufnahme von in der Regel teurem Fremdkapital sind.81 Darüber hinaus spielt auch die bereits erwähnte Resilienz in diesem Kontext eine bedeutende Rolle.

6. Prävention von Skandalen

Die neuen ESG-Berichtspflichten, zum Beispiel aus der Corporate Sustainability Reporting Directive82 (CSRD), und die dadurch hinzugewonnene Transparenz konfrontieren die Unternehmen nicht nur mit dem bürokratischen Aufwand, sondern auch mit neuen Skandalpotentialen. Nun können sowohl Bilanzskandale, wie zuletzt beispielsweise bei der Wirecard AG oder der Adler Group, als auch ESG-Skandale die Unternehmen ins negative Licht der Öffentlichkeit rücken.83 Für Letztere gibt es trotz der jüngeren Geschichte der ESG-Regularien ebenso erste Negativbeispiele, darunter die Volkswagen AG (Dieselskandal84) und Ikea (wiederholte Kritik in verschiedenen ESG-Bereichen85). Während Bilanzskandale meist mit hohen Schadenssummen, einer großen Anzahl an Geschädigten und, in der Folge, gesetzlicher und medialer Aufmerksamkeit einhergehen, hat beispielsweise Greenwashing insbesondere Konsequenzen für die Unternehmensreputation und somit mittelbar auf den Unternehmenserfolg.86 Die Folgen aufgedeckter Skandale sind für das Unternehmen verheerend und führen nicht selten sogar zur Insolvenz.87 Bereits im Regierungsentwurf (RegE) zum KonTraG war klar, dass Bilanzdelikte Risiken mit bestandsgefährdendem Charakter darstellen und dadurch Einzug in das RMS im engeren Sinne finden.88 Die gestiegene Relevanz der ESG-Risiken per se und die ausgeweiteten Verpflichtungen aus nationalen (z. B. Lieferkettensorgfaltspflichtengesetz) und internationalen (z. B. CSRD) Vorgaben führen dazu, dass die Unternehmen faktisch verpflichtet sind, diese Risiken in das System aufzunehmen. Das RMS kann als die erste von drei Ebenen der Kontrolle gesehen werden und sorgt damit bereits im Unternehmen für die Aufdeckung unrichtiger Darstellungen.89 Ferner führt das RMS, wie bereits dargestellt, zu einer angemessenen Unternehmens- bzw. Risikokultur und hat somit vorbeugenden Charakter. Ein weiterer Aspekt sind die durch das RMS implementierten Kontrollen, die in Echtzeit Daten zur Analyse der Unternehmenssituation liefern, die dann zur Prävention genutzt werden können.90

7. Steigerung der Investitionsbereitschaft der Anleger

In der Literatur wird bereits seit einigen Jahren vertreten, dass die Implementierung des RMS zu einer gesteigerten Investitionsbereitschaft der Anleger führt.91 Darüber hinaus tragen auch die bereits beschriebenen Chancen hierzu bei, denn ein resilientes Unternehmen, das eine ausgeprägte Krisenprävention hat, stellt mitunter eine vielversprechende Anlage dar. Ein angemessenes und wirksames RMS kann zudem zu stabilisierten Erträgen und damit zu weniger Schwankungen im Aktienkurs führen.92 Dies stärkt das Vertrauen der Anleger und führt somit zu einer gesteigerten Investitionsbereitschaft.93 Allerdings stehen diese Annahmen unter der Prämisse, dass die Anleger auch die entsprechenden Informationen über das System durch die Geschäftsberichte erhalten und diese auch aussagekräftig und verlässlich sind, denn nur so sind sie in der Lage, sich selbst umfassend und adäquat über die Unternehmenssituation zu informieren.94

8. Haftungsvermeidung

Ein wohl eher individueller Nutzen für die Unternehmensleitung wird der Haftungsvermeidung zugeschrieben, sodass sie wenn, nur mittelbar als Chance für das Unternehmen angesehen werden kann.95 Da jedoch die Unternehmensleitung für die Implementierung des Systems verantwortlich ist, ist die Haftungsvermeidung ein Anreiz zum soliden Ausbau, der dann wiederum zu den bereits genannten Chancen führen kann. In vielen Unternehmen wird die Haftungsvermeidung als Hauptgrund für die Einrichtung des RMS gesehen.96 Die Haftungsvermeidung bringt auf zwei Wegen einen Vorteil für das Unternehmen bzw. die Leitungsebene.

a) Erfüllung gesetzlicher Pflichten

aa) Erfüllung aktienrechtlicher Verpflichtungen

Die Erfüllung der gesetzlichen Verpflichtung führt dazu, dass sich keine Konsequenzen für den Vorstand bzw. Geschäftsführer oder den Aufsichtsrat aus der fehlerhaften Implementierung und/oder Ausgestaltung des Systems ergeben. Diese können unter Umständen nämlich sowohl zur zivilrechtlichen als auch strafrechtlichen Haftung führen. Zivilrechtlich liegt dabei das Hauptaugenmerk auf der Organhaftung nach § 93 Abs. 2 S. 1 AktG bzw. § 43 Abs. 2 GmbHG, die als Innenhaftung gegenüber der Gesellschaft ausgestaltet ist. Ansprüche Dritter können, sofern keine entsprechenden Vertragsbeziehungen bestehen, allenfalls nach § 826 BGB geltend gemacht werden, da weder § 91 Abs. 2 noch 3 AktG als Schutzgesetze nach § 823 Abs. 2 BGB angesehen werden.97 Im Strafrecht steht bei unzureichenden RMS der Tatbestand der Untreue nach § 266 StGB zur Diskussion.98 Eine Untreuehandlung im Sinne des § 266 StGB begeht, wer seine Vermögensbetreuungspflicht vorsätzlich missbraucht bzw. verletzt und dadurch dem, dessen Vermögen er betreut, einen Nachteil zufügt. Vorstand und Aufsichtsrat haben eine gesetzliche Vermögensbetreuungspflicht nach §§ 93 Abs. 1 S. 1 bzw. 111 Abs. 1 AktG inne. Darüber hinaus wird durch ein unangemessenes RMS grundsätzlich die gesetzliche Pflicht nach § 91 Abs. 2 und 3 AktG verletzt. Eine Verurteilung nach § 266 StGB scheitert allerdings wohl oftmals am fehlenden Vermögensnachteil, der wenn, dann nur mittelbar durch das unangemessene RMS ausgelöst wird.99 Ferner ist der subjektive Tatbestand, also der bedingte Vorsatz, oft nur schwer nachweisbar.100 Als Folge unzureichender Systeme kann auch einer der Tatbestände des Bankrotts nach § 283 StGB verwirklicht werden.101 Bei einer Notierung an der US-amerikanischen Börse sind zudem die Regelungen des Sarbanes-Oxley Act zu beachten, der deutlich verschärftere Haftungsregelungen beinhaltet als die deutschen Gesetze.102

bb) Erfüllung ESG-Verpflichtungen

Aus den neuen europarechtlichen ESG-Bestimmungen geht eine Vielzahl an (Berichts)pflichten hervor. Auch wenn von EU-Seite durch das sogenannte „Omnibus-Paket“ Erleichterungen betreffend die unternehmerischen ESG-Pflichten in der Umsetzung sind, kann bereits die Fülle an Regelungen für ESG-Newies schnell dazu führen, dass man den Überblick verliert. Allein der Umfang und die Komplexität der Regelungen setzen voraus, dass die ESG-Informationen des Unternehmens methodisch identifiziert, verwertet und abgebildet werden. Das systematische Vorgehen im RMS ist hierfür ideal.103 Zudem sind die Richtlinien und Verordnungen oftmals mit eigenen Sanktionskatalogen ausgestattet. Bei der Nichtbeachtung der Corporate Sustainability Due Dilligence Directive104 drohen dem Unternehmen beispielsweise Zwangsgelder, die je nach Ausmaß des Verstoßes bis zu 5 % des Nettoumsatzes betragen. Die Mitgliedstaaten können in den einzelstaatlichen Regelungen noch höhere Zwangsgelder festsetzen. Für die CSRD setzt die Bundesregierung im RegE zum CSRD-Umsetzungsgesetz Verstöße der Unrichtigen Darstellung nach § 331 HGB gleich (vgl. § 331 HGB-E) und kann diese somit auch mit einer Freiheitsstrafe des vertretungsberechtigten Organs sanktionieren.

b) Business Judgement Rule

Das RMS kann zudem auch für andere Pflichtverletzungen bzw. Haftungsfälle als Rettungsanker im Rahmen der Business Judgement Rule nach § 93 Abs. 1 S. 2 AktG dienen.105 Unter „anderen Pflichtverletzungen“ sind alle Pflichtverletzungen zu verstehen, die nicht die unzureichende Ausgestaltung des Systems selbst betreffen. Wie bereits erörtert, führen RMS zu einer fundierteren unternehmerischen Entscheidung. Da eine Pflichtverletzung nach § 93 Abs. 1 S. 2 AktG dann nicht vorliegt, wenn der Vorstand vernünftigerweise annehmen durfte, dass er auf Grundlage angemessener Informationen und zum Wohle der Gesellschaft handelt und ihn darüber hinaus auch die Beweislast nach § 93 Abs. 2 S. 2 AktG hierfür trifft, hat der Vorstand bereits durch das Aufzeigen der Dokumentation seiner Entscheidung einen Vorteil. Anstatt einer Entscheidung „aus dem Bauch heraus“ kann er mit Hilfe des RMS nämlich einen nachvollziehbaren und transparenten Weg der Entscheidungsfindung präsentieren.

III. Zwischenfazit

Die Welt ist gekennzeichnet durch sich immer schneller und stärker verändernde Gegebenheiten. Die Globalisierung schreitet weiter voran und bringt neue unternehmerische Risiken auf die Schreibtische der Manager. Insbesondere die Risiken die aus der ökologischen und sozialen Dimension der Nachhaltigkeit entstehen, sind für einige Akteure Neuland. Die Einbeziehung dieser Risiken aber auch die grundsätzliche Einrichtung und Implementierung eines unternehmensweiten RMS kann die beschriebenen Chancen auslösen und das Unternehmen auf die volatile, unischere und komplexe Zukunft vorbereiten. Doch diesen Chancen stehen Grenzen gegenüber, die den Nutzen des Systems einschränken. Diese werden Teil des zweiten Beitrags unter dem Titel „Risikomanagementsysteme und ihre Grenzen“ sein.

---