Risikomanagement und das Gesetz zur Kontrolle und
Transparenz im Unternehmensbereich (KonTraG)

von Jörg Helmut Trauboth

Einführung

Das KonTraG hat konkrete Hintergründe. Es ist das Resultat besonders großer Firmenzusammenbrüche, die zu einer massiven Kritik an der Art des Risikomanagements in deutschen Firmen, speziell am deutschen Aufsichtsratssystem, geführt und den Gesetzgeber auf den Plan gerufen haben. Das Gesetz schafft einen grundsätzlich neuen Rahmen für die Aufsichtspflicht und das Risikomanagement in deutschen Unternehmen. In der Konsequenz kommen erweiterte und neue Aufgaben auf die Vorstände, Geschäftsführer, Wirtschaftsprüfer und Sicherheitsmanager zu. Das KonTraG wird in wenigen Jahren die Risikokultur in Unternehmen maßgeblich beeinflusst haben; unklar ist derzeit nur noch das Ausmaß der Auswirkungen.

Das Gesetz

Mit dem KonTraG werden zwei grundlegende Regelungsziele verfolgt. Zum einen sollen Schwächen und Verhaltensfehler im Kontrollsystem des deutschen Aktienrechtes korrigiert werden, andererseits soll der zunehmenden Öffnung der deutschen Publikumsgesellschaften auf den internationalen Kapitalmärkten und deren Informationsbedürfnissen Rechnung getragen werden.

Eine in der Öffentlichkeit wohl am meisten beachtete Maßnahme ist die Einfügung des § 91 Absatz 2 Aktiengesetz. Danach hat der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden .

Geltungsbereich

Der § 91 Absatz 2 Aktiengesetz gilt zunächst nur für Gesellschaften, die dem Aktiengesetz unterliegen. Für das GmbH-Gesetz wurden durch das KonTraG keine eigenständigen Regelungen getroffen. Der Gesetzgeber begründet dieses damit, dass für GmbH, abhängig von ihrer Größe, Komplexität, Struktur usw. nichts anderes gelte und die Neuregelung des Aktiengesetzes Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer anderer Gesellschaftsformen habe. Das Gesetz kommt erstmals nach dem 31. Dezember 1998 zur Anwendung.

Gesetzliche Vorgaben und Konsequenzen

Der Gesetzgeber verlangt im wesentlichen ...

• ein Überwachungssystem zur Früherkennung von bestandsgefährdenden Entwicklungen (im Sinne der Identifikation und Analyse, nicht zur Vermeidung und Reduktion von Risiken) und

• die Schaffung von angemessenen Kommunikationsstrukturen, die ein frühes Erkennen der Risiken durch die Entscheidungsträger sichern,

... damit so rechtzeitig erkannt werden kann, welche geeigneten Gegenmaßnahmen eingeleitet werden können.

Abschlussprüfung und Haftung

Das KonTraG wirkt sich auf das Berichtswesen des Unternehmens in besonderer Weise aus:

• Der Lagebericht zum Jahresabschluss erhält einen erhöhten Stellenwert mit Prognosecharakter

• Die Abschlussprüfer müssen in einem besonderen Teil des Prüfungsberichtes:

• dokumentieren, dass und welche Maßnahmen getroffen worden sind,
• dokumentieren, wie es mit der Effektivität dieser Maßnahmen steht,
• gesondert eingehen auf Risiken, die den Fortbestand des Unternehmens gefährden und
• dokumentieren, welche Maßnahmen erforderlich sind, um das interne Überwachungssystem zu verbessern.

Insgesamt werden die Wirtschaftsprüfer also verstärkt zur Risikobeurteilung verpflichtet. Die neuen Regelungen verpflichten sie und die Geschäftsführung zu einem neuen Risikobewusstsein, das weit über die summarische Prüfung des Lageberichtes hinausgeht. In der Konsequenz werden Versäumnisse und Verfehlungen durch den Aufsichtsrat, Vorstand, die Geschäftsführung, aber auch durch den Abschlussprüfer vermehrt zu Haftungsfällen, da das Aufgabenspektrum deutlicher definiert ist als in der Vergangenheit.

Die Rolle von Wirtschaftsprüfern
und Sicherheitsverantwortlichen

Das KonTraG wird derzeit vorrangig auf der Ebene der Wirtschaftsprüfer behandelt. Dieses ist verständlich, denn 1999 ist das erste Prüfungs- und Berichtsjahr. Zum ersten Mal haben sich "Zahlenfachleute" per Gesetz mit strategischen und operativen Risiken eines Unternehmens auseinanderzusetzen und auf Bestandsgefährdung zu analysieren. Angesichts der vielfältigen Unternehmensrisiken, die auch der beste Wirtschaftsprüfer keineswegs alle zu beurteilen vermag, ist er auf fachliche Zuarbeit von Experten angewiesen.

Die Sicherheitsfachleute sind also aufgerufen, das Security- und Safety-Know-How so einzubringen, dass strategische Risiken weder unterbewertet noch überbewertet werden. Dieses ist allerdings nur auf der Grundlage abgesicherter rechnergestützter Verfahren möglich. In der Konsequenz bedeutet dieses aber auch, dass auch der Sicherheitsverantwortliche - wie der Wirtschaftsprüfer - für das Ergebnis seiner Erhebungen zur Frühwarnerkennung und Gefahrenminimierung stärker in die Verantwortung und Haftung genommen werden müsste.

Der ganzheitliche Risikomanagementprozess
(GRMP) als Lösungsansatz

Der klassische Risikomanagementprozess beinhaltet alle Aktivitäten zum systematischen Umgang mit Risiken. Dazu zählen die Risikoidentifikation, die Risikoanalyse und nachfolgende Bewertung, die Steuerung der Risiken als Konsequenz der Bewertung und die Überwachung und Kontrolle des Erfolges.

Abbildung 1: Ganzheitlicher Risikomanagementprozess (GRMP)

Der Anspruch des KonTraG ist es, dass alle Unternehmensrisiken erfasst werden. Deswegen ist zwangsläufig auch der Anspruch an die einzelnen Elemente des Regelkreises hoch und geht zum Beispiel über Security hinaus. Das Unternehmen wird als System betrachtet, das durch einzelne Risiken im Bestand nicht gefährdet werden darf.

Risikoidentifizierung

Die Risikofrüherkennung als primäres Gebot des KonTraG ist nichts anderes als ein mit dem militärischen AWACS vergleichbaren Frühwarnsystem, in dem Spezialisten in der Luft suchen, identifizieren, das Wesentliche vom Unwesentlichen unterscheiden und das Ergebnis an die auswertende Stelle melden. Wird das identifizierte Objekt als "Threat" erkannt, wird dieses sogleich durch angemessene Reaktionsmaßnahmen bekämpft. Durch gezielte Kontrollmaßnahmen wird sichergestellt, dass die vitalen Interessen der eigenen Seite nicht weiter ernsthaft bedroht sind.

Auch im Unternehmen geht es um die rechtzeitige, angemessene und effiziente (im militärischen: flexible) Reaktion auf unerwünschte Entwicklungen. Dieses bedarf der umfassenden Bestandsaufnahme aller Risiken. Hier muss jedes Unternehmen selbst entscheiden, wie breit und wie tief angesetzt wird. Die Erfassung setzt fundierte Kenntnis über das gesamte Unternehmen voraus.

Spätestens die Diskussion der wesentlichen Risiken wird zeigen, ob das Unternehmen eine Strategie besitzt und die daraus abgeleiteten Ziele definiert sind. Ist eine derartige Strategie nicht vorhanden oder nicht klar definiert, müsste dieses erfolgen, bevor die Risikoanalyse- und -bewertung erfolgt. Die Identifizierung der Risiken setzt auf der Vorstandsebene / Geschäftsführerebene an und führt in einem "Top Down Approach" durch das Unternehmen.

Wegen der Fülle der Daten und des Fortschreibungszwanges ist das Unternehmen darüber hinaus gut beraten, für die Risikofrüherkennung, das Risikomanagement und die Risikokontrolle rechnergestützte und möglichst zertifizierte Systeme und Modelle zu nutzen.

Risikoanalyse und Risikobewertung

Nachdem die Risiken identifiziert wurden, müssen sie nun vertiefend untersucht und bewertet werden. Ziel der Risikoanalyse ist die qualitative Beurteilung der Risiken und ihre quantitative Messung, um so das Risikospektrum des Unternehmens abzubilden.

Hierbei werden die erkannten wesentlichen Risiken einerseits in Beziehung zu der Eintrittswahrscheinlichkeit und sodann zur Höhe des möglichen Schadens für das Unternehmen gebracht. Jedes Risiko sollte dabei katalogisiert werden nach:

• der genauen Ursache,
• der Häufigkeit des Auftretens und
• dem (bisher erkannten oder erwarteten) Verlust.

Sollte sich der potenzielle Verlust nicht genügend quantifizieren lassen, muss es gegebenenfalls bei einer qualitativen Beschreibung bleiben, bevor unrealistische Gewichtungen vorgenommen bzw. falsche subjektive Wahrscheinlichkeiten definiert werden.

Vor diesem Problem werden die Abschlussprüfer stehen, wenn das gesamte Spektrum der Sicherheitsrisiken zu beurteilen ist, die sich bekanntlich dadurch auszeichnen, dass sie oft nicht klar genug fassbar sind (Industriespionage) und ein einziges Vorkommnis sich als bestandsgefährdend herausstellen kann (Produkterpressung zum Nachteil eines Unternehmens mit nur einer Marke).

Die Sicherheitsfachleute sollten sich darauf einstellen, dass der Abschlussprüfer einen ausschließlich finanzorientierten Denkansatz verfolgt und zwar aus dem Verständnis heraus, dass eine Bestandsgefährdung gegeben ist, wenn dem Unternehmen durch das Risiko Insolvenz droht. Wie dieses Problem - die inhaltliche Erfassung des Risikos und die Notwendigkeit zur Quantifizierung - im Abschlussbericht aufgelöst werden kann, wird die gemeinsame Herausforderung der Prüfer und Sicherheitsfachleute sein.

Risikosteuerung

Mit der Risikosteuerung wird die Phase der Erfassung und Bewertung abgeschlossen und es beginnt das aktive Risikomanagement. Ziel dieser Phase ist es, die Eintrittswahrscheinlichkeit zu verringern bzw. die Auswirkungen von Risiken zu begrenzen. In der Reaktion wird die Grundüberlegung sein, ob ein Risiko zu ertragen, zu vermindern oder zu vermeiden ist. Risiken mit geringen Auswirkungen - gleich welcher Eintrittswahrscheinlichkeit - mögen akzeptabel sein. Risiken mit einem hohen Schadenpotential erfordern Einzelfallentscheidungen, selbst wenn die Eintrittswahrscheinlichkeit gering ist.

Risikoüberwachung

Ziel der letzten Stufe im Trauboth Risk Management Ansatz (GRMP) ist es, die Risiko- Steuerungsmaßnahmen operativ wirksam zu kontrollieren. Dieses ist über Abweichungsanalysen und interne Kontrollverfahren im Zeitablauf möglich. Messlatte ist dabei, dass definierte Limits, Kriterien oder Kennzahlen nicht überschritten werden. Sollte dieses der Fall sein, wird der Unternehmensführung berichtet und es werden Anpassungen oder Steuerungsmaßnahmen vorgenommen. Bei einer Verkennung und Falscheinschätzung von Risiken wird der Regelkreis neu in Gang gesetzt, indem Risiken identifiziert, analysiert und neu bewertet werden.

Zusammenfassung

• Das KonTraG stellt neue Herausforderungen an das Riskmanagement in vielen deutschen Unternehmen.
  
  
• Es enthält einen vagen Rahmen für die Durchführung, der erheblichen Interpretationsspielraum zulässt.
  
  
• Die gesetzliche Verpflichtung zur Etablierung eines Frühwarnsystems ist jedoch unmissverständlich. Zuwiderhandlungen können schwerwiegende Haftungsfolgen nach sich ziehen.
  
  
• Betroffene Unternehmen sollten das KonTraG als Chance sehen, das Risikomanagement im Unternehmen zu optimieren.
  
  
• Sicherheitsfachleute sind aufgerufen, in einen Dialog mit den Wirtschaftsprüfern einzutreten, mit dem Ziel, dass Safety & Security in angemessener Weise bewertet wird.
  
  
• Der ganzheitliche Risikomanagementprozess (GRMP) mag dazu beitragen, das Risikopotential besser zu erfassen, Gefahren und deren Auswirkungen besser zuzuordnen und die richtigen Gegen- und Kontrollmaßnahmen einzuleiten.
  
  
• Darüber hinaus entstehen im Markt die ersten rechnergestützten Programme, die speziell auf die Umsetzung des KonTraG zugeschnitten sind.

Quelle

Dieser Beitrag wurde - mit freundlicher Genehmigung des Herausgebers - der folgenden Publikation entnommen:

Herbert Ehses (Hrsg.), Unternehmensschutz: Praxishandbuch Werksicherheit, Verlag Boorberg, Stuttgart, 1999, Loseblatt-Ausgabe mit Diskette, ISBN 3-415-02487-3, DM 248.00

 Autor

Erstveröffentlichung im Krisennavigator (ISSN 1619-2389):
3. Jahrgang (2000), Ausgabe 4 (April)