Die unbekannte Pflicht zum Risikomanagement

Herr Professor Gleißner, Beobachtern zufolge verläuft die Umsetzung des StaRUG eher schleppend, obwohl die regulativen Vorgaben eindeutig sind. Was sind die Gründe dafür, und wie kann der Rückstand aufgeholt werden?

Gleißner: Der Eindruck ist durchaus richtig. Um die Situation zu verstehen, sollten die Vorgeschichte und die Intention des Gesetzgebers angesprochen werden. Im Zuge der COVID-19-Pandemie gab es die Sorge, dass es in Deutschland zu einer Insolvenzwelle kommen könnte. Schon vorher gab es die Idee, die bis dato unklare Regelung in Bezug auf das Risikomanagement vor allem kleinerer und mittlerer Unternehmen zu konkretisieren und über das Gesetz präventive Strukturen zu implantieren, um über zwei Verteidigungslinien Insolvenzen abzuwenden. Denn der Großteil des Gesetzes beschäftigt sich auch mit dem Fall, dass Unternehmen bereits in einer schweren Krise sind und der Fortbestand also gefährdet ist. Naheliegenderweise will der Gesetzgeber aber verhindern, dass Unternehmen überhaupt in eine schwere Krise kommen. Dafür hat er entsprechende Regeln in das Gesetz geschrieben – zum Beispiel, dass die Organe in der Lage sein sollen, bestandsgefährdende Entwicklungen früh zu erkennen. Zu der befürchteten Insolvenzwelle ist es dann durch eine Fülle von Hilfsmaßnahmen nicht gekommen. Dennoch hat man das schon länger geplante Gesetz Ende 2020 regelrecht durchgepeitscht und daher musste auf eine vorbereitende Kommunikation weitgehend verzichtet werden. Folge: Ein Großteil der Betroffenen hat bis heute von dem Gesetz noch gar nichts gehört oder nur am Rande Kenntnis davon genommen. Oft herrscht die Meinung vor, dass das StaRUG nur Unternehmen in einer Krise beträfe. Aber das trifft eben nur für den zweiten Teil zu. Der erste Teil, insbesondere mit § 1 StaRUG, der die Anforderungen an Krisen- und damit Risikofrüherkennung festlegt, wird quasi verdrängt. Das betrachte ich als ernstes Problem und das steht auch im Gegensatz zu anderen Direktiven, etwa zur Nachhaltigkeitsberichterstattung, über die sehr viel gesprochen und berichtet wird. Der bei weitem größte Teil der vom StaRUG Betroffenen weiß nichts von seinen Pflichten – das gilt für den Aufsichtsrat ebenso wie für die Geschäftsführung.

Nun bewegen wir uns langsam aus der Pandemie-Situation heraus. Spätestens jetzt, zwei Jahre nach Inkrafttreten des Gesetzes, müssten betroffene Unternehmen doch darangehen, Defizite aufzuarbeiten, oder?

Sie haben grundsätzlich Recht. Aber die Frage ist doch, inwieweit Unternehmen die Verantwortung für die mangelhafte Kommunikation des Gesetzgebers zugeschoben werden kann. Da sollte man fair gegenüber Mittelständlern bleiben, die häufig nicht über die entsprechenden Informationsstrukturen verfügen. Dazu kommt ein zweiter Punkt: Der Gesetzgeber hat vernünftigerweise gesagt: Bei einer kleinen Zehn-Mann-GmbH kann ich die Risikomanagementverpflichtung nicht zur Routineprüfung der Wirtschaftsprüfer machen – so wie das bei großen Aktiengesellschaften der Fall ist. Das heißt: Ob die Anforderungen erfüllt sind, wird immer erst geprüft, wenn es einen Konfliktfall gibt. Deshalb wird der gewöhnliche mittelständische Unternehmer nie darauf hingewiesen, dass es eine gesetzliche Anforderung durch das StaRUG gibt. Heißt also: Der größte Teil der Betroffenen erfährt wahrscheinlich erst dann von der gesetzlichen Anforderung an die Krisen- und Risikofrüherkennung, wenn das Kind bereits in den Brunnen gefallen ist.

Jetzt ist es aber doch so, dass Unwissenheit nicht vor Strafe schützt. Welche Sanktionen drohen denn langsamen Unternehmen?

Das lässt sich am besten vom Zustand einer drohenden Insolvenz aus erläutern. Wenn kein Risikomanagement existiert und die Geschäftsführung dadurch nicht frühzeitig erkannt hat, dass eine existenzgefährdende Entwicklung durch bestehende Risiken droht, kann dadurch ein Schadenersatzanspruch entstehen. Eine kreditgebende Bank zum Beispiel könnte argumentieren, dass große Risiken, die in der Folge bestandsgefährdendes Potenzial haben, nicht analysiert worden sind, so wie es das Gesetz vorgibt – und dementsprechend ist auch nichts dagegen unternommen worden, beziehungsweise es gab keine Präventionsmaßnahmen. Der Gesetzgeber fordert ausdrücklich bei einem problematischen Grad der Bestandsgefährdung „geeignete Gegenmaßnahmen“. Damit kann die Bank den notleidenden Kredit als Schaden ansehen, der bei einer gesetzeskonformen Risikoanalyse und rechtzeitigen Gegenmaßnahmen hätte vermieden werden können. Für die Geschäftsleiter und übrigens auch für Aufsichtsrat oder Beirat, der in § 1 StaRUG auch angesprochen wird, bedeutet das, dass sie im Zweifelsfall mit ihrem Privatvermögen haften könnten.

Kann der Gesetzgeber auch Strafen verhängen?

Das ist im Gesetz eben aufgrund des Wunsches einer Entbürokratisierung im Allgemeinen nicht vorgesehen. Mittelständler müssen also im Gegensatz etwa zu der börsennotierten Aktiengesellschaft im Jahresabschluss nicht näher auf die Umsetzung des Risikomanagements nach StaRUG berichten. Es gibt keine Strafe, solange nichts Schlimmes passiert. Das ist zum Beispiel bei Nachhaltigkeitsberichterstattung ganz anders. Wenn die versäumt wird, drohen Strafen von bis zu zwei Prozent des Umsatzes. Aber potenziell sind bei einem Schadensfall die Risiken für die Betroffenen viel höher.

Also könnten Unternehmensverantwortliche sagen: Augen zu und durch. Es ist noch immer gut gegangen?

Ja – und das wird wahrscheinlich auch so passieren. Aber die Frage ist, aus welchen Motiven das passiert. Kaum anzunehmen, dass es bewusstes Kalkül ist, das Thema Risikomanagement nicht anzupacken und auf das Beste zu hoffen. Unsere Erfahrung ist die, dass diejenigen, die wissen, dass sie eine Verpflichtung haben, dieser Pflicht auch nachkommen. Das hat für das Unternehmen neben der Strafvermeidung auch ganz klare ökonomische Vorteile.

Welche wären das?

Dass ein strukturiertes Risikomanagement die Wahrscheinlichkeit vermindert, dass der Betrieb in eine schwere Krise kommt. Der weit überwiegende Teil der Mittelständler sind Familienunternehmen. Das Interesse ist daher groß, dass das eigene Unternehmen überlebt und an die nächste Generation übergeben wird. Zukunftsfähigkeit hängt neben finanzieller Stärke und einer robusten Strategie insbesondere von der Fähigkeit ab, mit Chancen und Gefahren, also Risiken, umzugehen. Der zweite Punkt ist, dass man Fehlentscheidungen vermeidet. Unternehmerische Tätigkeit ohne Risiken gibt es nicht und damit sollte man wissen, welche Risiken man eingehen kann. Denn ein Aspekt des Risikomanagements ist auch, dass ich zum Beispiel vor einer Entscheidung über eine große Investition weiß, wie viel Risiko damit eingegangen wird. Dann kann ich beurteilen, ob das im Verhältnis zum Ertrag angemessen und vertretbar ist. Oder anders gesagt: Ich vermeide mit hoher Wahrscheinlichkeit dumme Fehlentscheidungen, die mich teuer zu stehen kommen. Und das ist der dritte Punkt: Ich senke die Risikokosten. Zum Beispiel gibt es keine massiven negativen Planabweichungen, die meine Rating-Kennzahlen verschlechtern. Positive Folge: Ich vermeide höhere Kreditzinsen. Für den typischen Mittelständler dürfte unter diesen drei Punkten die verbesserte Zukunftsfähigkeit und Überlebensfähigkeit im Fokus stehen.

Nehmen wir jetzt mal den schönsten Fall: Betroffene Geschäftsführer und Aufsichtsräte erfahren durch dieses Interview erstmals so wirklich von ihren gesetzlichen Pflichten. Die Frage ist: Wo fangen sie dann an?

Erfreulicherweise ist das gar nicht so aufwendig und komplex, wie man denken würde. Im Gegensatz zu den börsennotierten Aktiengesellschaften gibt es für Mittelständler keine spezifische Organisationsvorschrift an das Risikomanagement. Ich muss also jetzt nicht einen Chief Risk Officer, einen Leiter Risikomanagement oder sonst wen einstellen; man braucht keine eigenständige, bürokratische Organisation. Ich muss nur irgendwie sicherstellen, dass ich im Rahmen meiner kaufmännischen Führung in der Lage bin, Risiken zu identifizieren und quantifizieren, die einzeln oder in Kombination zu einer Bestandsgefährdung führen können. Um die Kombinationseffekte von Risiken und deren Auswirkungen zum Beispiel auf das Rating zu beurteilen, dient die sogenannte Risikoaggregation. Was bedeutet das in der Praxis für ein mittelständisches Unternehmen, das gar keine Lust auf irgendeine Bürokratie hat? Im ersten Schritt geht es darum, die wichtigsten Risiken unter Einbeziehung der Geschäftsleitung zu identifizieren. Das ist ein systematisches Vorgehen und kein Hexenwerk. Da gibt es sehr bewährte Techniken. Ich mache mir beispielsweise Gedanken über die Faktoren, die für den Erfolg wichtig sind, und prüfe dann: Was könnte diese Erfolgsfaktoren gefährden? Dazu gehört ein Blick in die Unternehmensplanung – die es hoffentlich gibt. Die Frage ist: Welche Annahmen darin sind mehr oder weniger unsicher? Währungskurse, Energiepreise – darin stecken, wie wir jetzt sehen, immer Risiken. Und es muss die Wertschöpfungskette geprüft werden. Was oder wer darin kann den Betrieb in Schwierigkeiten bringen? Vielleicht der Ausfall einer kritischen Maschine oder ein Cyberangriff. Erfahrungsgemäß lässt sich so was in ein bis drei Arbeitstagen machen.

Und dann?

Geht es in einem zweiten Schritt daran, die Risiken zu priorisieren. Da reden wir faktisch von den relevantesten Top Ten, die es gilt, in Zahlen zu fassen und durch Bandbreiten zu beschreiben. Der dritte Schritt ist dann, die Kombinationseffekte durchzurechnen. Das ist die erwähnte Risikoaggregation. Dafür gibt es zur notwendigen Risikosimulation sogar schon kostenlose Tools. Wenn die Wahrscheinlichkeit einer bestandsgefährdenden Entwicklung die Risikoaggregation ebenso wie den Eigenkapitalbedarf des Unternehmens bestimmt, müssen die in § 1 StaRUG geforderten „geeigneten Gegenmaßnahmen“ initiiert werden; zum Beispiel müssen Risiken abgebaut oder muss das Eigenkapital erhöht werden. Der vierte Schritt ist eben, die wichtigsten Risiken auch zu überwachen, also Verantwortlichkeiten zu verteilen und zu schauen, ob sich einzelne Risiken verändern. Damit ist alles getan, was gesetzlich erforderlich ist. Der Vorteil für das Management ist, dass es weiß, wie groß im Moment die Bedrohungslage für das Unternehmen ist und an welchen Stellen Handlungsbedarf besteht, um eine potenzielle Bedrohungslage zu reduzieren.

Bei einem durchschnittlichen Mittelständler bleibt die Verantwortung wahrscheinlich bei der Geschäftsführung hängen, oder?

Nicht zwangsläufig. Bei den großen börsennotierten Unternehmen gibt einen eigenständigen Leiter Risikomanagement, der direkt an den Vorstand berichtet. Bei den mittelgroßen Unternehmen, also dem gehobenen Mittelstand, landet die Aufgabe meist beim Leiter von Planung und/oder Controlling als Zusatzfunktion. Im kleineren Mittelstand ist es tatsächlich häufig genauso, wie Sie es andeuten: Die Verantwortlichkeit läuft auf den oder die kaufmännischen Leiter hinaus.

Gerade die letztgenannte Gruppe ist aber mit den Anforderungen im Tagesgeschäft häufig ausgelastet. Wie kann man sich externe Expertise ins Haus holen, die entlasten kann?

Da wäre in vielen Fällen der Steuerberater erste Anlaufstelle. Viele davon bieten offiziell auch betriebswirtschaftliche Beratung an. In der Praxis ist das aber häufig dann doch ein Randthema und daher sind deren Kompetenzen im Bereich Risikomanagement oft sehr gering. Primär stehen die Kernthemen und der Aufbau von Zusatzkompetenzen in angrenzenden Feldern im Fokus der Arbeit. Möglicherweise ist ein Grund dafür, warum viele Steuerberater von ihren Ressourcen her derzeit am Limit sind, dass sie nach den ganzen Förder- und Hilfsanträgen den Rückstand bei den Erklärungen aufarbeiten.

Also müssen Geschäftsführung und Aufsichtsräte dann doch eher auf Spezialisten für Risikomanagement zurückgreifen?

Ja, sollten sie. Wir bilden zum Beispiel solche Risikoberater in unterschiedlichen Konstellationen seit vielen Jahren aus. Diese Spezialisten unterstützen bei der ersten Risikoanalyse sowie auf Wunsch auch bei der Einführung und dem Einsatz von Risikomanagementsystemen. Aber unabhängig von einem Berater lohnt es, sich etwas in das Thema einzulesen. Und wie bereits gesagt: Viele praxisorientierte Texte, Tools und Instrumente sind sogar kostenlos verfügbar. Wir als Forschungsinstitut haben haufenweise solche Materialien kostenlos auf unserer Homepage bereitgestellt. Wer also keinen Berater einbeziehen möchte, kommt mit diesen Hilfsmitteln auch schon relativ weit.